La vulnerabilidad en el plugin WordPress File Upload para WordPress permite a atacantes no autenticados ejecutar código de forma remota, leer archivos de forma arbitraria y eliminar archivos de forma arbitraria en todas las versiones hasta, e incluyendo, la 4.24.15 a través del archivo ‘wfu_file_downloader.php’. Esto se debe a la falta de saneamiento adecuado del parámetro ‘source’ y la posibilidad de permitir una ruta de directorio definida por el usuario, lo que hace posible que atacantes sin autenticación ejecuten código en el servidor.
Los usuarios afectados por esta vulnerabilidad en el plugin WordPress File Upload deben desactivar temporalmente el plugin hasta que el desarrollador publique una actualización que solucione este problema. Además, se recomienda a los administradores de sitios web realizar una revisión de seguridad exhaustiva para detectar posibles actividades maliciosas y establecer controles de acceso adecuados para prevenir un posible compromiso de seguridad.
Es esencial que los propietarios de sitios web que utilicen el plugin WordPress File Upload estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios. La implementación de las soluciones mencionadas puede ayudar a mitigar el riesgo de explotación y proteger la integridad de los datos del sitio.