El plugin AR for WordPress para WordPress es vulnerable a la carga de archivos con doble extensión no autorizada debido a la falta de verificación de capacidades en la función set_ar_featured_image() en todas las versiones hasta, e incluyendo, la 7.3. Esto permite que atacantes no autenticados carguen archivos php aprovechando un ataque de doble extensión. Es importante destacar que el archivo se elimina inmediatamente y los ataques de doble extensión solo funcionan en servidores selectos, lo que hace que sea poco probable que se explote con éxito.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin AR for WordPress a la última versión disponible, ya que los desarrolladores han lanzado una corrección para solucionar este problema de seguridad. Además, se recomienda tener precaución al permitir la carga de archivos en sitios web WordPress y restringir este permiso a usuarios confiables y autenticados. Implementar un firewall de aplicaciones web (WAF) puede ayudar a detectar y bloquear intentos de carga de archivos maliciosos.
Mantener todos los plugins y temas actualizados es esencial para garantizar la seguridad de un sitio web WordPress. En este caso específico, la actualización de AR for WordPress a la última versión disponible es crucial para protegerse contra vulnerabilidades de carga de archivos no autorizadas. La conciencia sobre las buenas prácticas de seguridad en WordPress y la implementación de medidas de protección adicionales pueden ayudar a prevenir ataques cibernéticos.