La vulnerabilidad CVE-2024-10590 en el plugin Opt-In Downloads para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función admin_upload() en todas las versiones hasta, e incluyendo, la 4.07. Esto posibilita que atacantes autenticados, con acceso de nivel Suscriptor y superior, puedan subir archivos arbitrarios en el servidor del sitio afectado, lo que puede llevar a una posible ejecución remota de código.
Para mitigar esta vulnerabilidad, los usuarios afectados deben actualizar urgentemente a la última versión del plugin Opt-In Downloads. Además, se recomienda restringir el acceso a los usuarios autenticados en el sitio web y monitorear de cerca cualquier actividad sospechosa de subida de archivos. También es importante revisar la configuración del servidor en busca de posibles vulnerabilidades adicionales que podrían ser aprovechadas en conjunto con esta para lograr una ejecución remota de código.
La importancia de mantener actualizados los plugins de WordPress y de implementar buenas prácticas de seguridad en el sitio web es crucial para prevenir y mitigar posibles ataques. Mantenerse informado sobre las vulnerabilidades conocidas y actuar proactivamente ante ellas es fundamental para proteger la integridad y la seguridad de los sitios web en WordPress.