El plugin AcyMailing – An Ultimate Newsletter Plugin and Marketing Automation Solution for WordPress para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función acym_extractArchive en todas las versiones hasta, e incluyendo, la 9.7.2. Esto permite a atacantes autenticados, con acceso de nivel Subscriber y superior, subir archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución de código remoto.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin AcyMailing a la última versión disponible, en este caso a la versión 9.7.3 o posterior. Además, se recomienda restringir el acceso de los usuarios a roles más bajos, como Subscriber, para limitar las posibilidades de explotación de esta vulnerabilidad. También se puede considerar el uso de plugins de seguridad adicionales que ayuden a detectar y prevenir actividades maliciosas en el sitio.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra posibles vulnerabilidades. Además, es importante implementar buenas prácticas de seguridad, como la gestión adecuada de roles de usuario y la instalación de medidas de seguridad adicionales, para reducir el riesgo de ataques exitosos.