El plugin Crafthemes Demo Import para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función ‘process_uploaded_files’ en todas las versiones hasta, e incluyendo, la 3.3. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, cargar archivos arbitrarios en el servidor del sitio afectado, lo que puede permitir la ejecución remota de código.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible para mitigar el riesgo de ataques de carga de archivos arbitrarios. Además, se recomienda limitar el acceso de los usuarios a roles que no requieran permisos de Administrador en WordPress para reducir la superficie de ataque.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra vulnerabilidades conocidas y potenciales como la descrita en este informe sobre la carga de archivos arbitrarios en Crafthemes Demo Import <= 3.3 (CVE-2024-9698).