La vulnerabilidad CVE-2022-1206 permite a atacantes autenticados con nivel de administrador o superior cargar archivos arbitrarios en servidores de sitios afectados a través de la función adrotate_insert_media() en el plugin AdRotate Banner Manager para WordPress. Esto puede conducir a la ejecución remota de código en el servidor.
La falta de sanetización de la extensión de archivo en la función adrotate_insert_media() en versiones hasta la 5.13.2 del plugin AdRotate Banner Manager para WordPress permite a atacantes autenticados subir archivos maliciosos al servidor del sitio afectado. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso la 5.13.3, la cual corrige esta vulnerabilidad. Además, se puede implementar un firewall de aplicaciones web (WAF) para filtrar posibles intentos de carga de archivos maliciosos.
Es crucial mantener actualizados todos los plugins de WordPress a sus últimas versiones para protegerse contra vulnerabilidades conocidas. La falta de sanitización de extensiones de archivos en el plugin AdRotate Banner Manager hasta la versión 5.13.2 representa un riesgo significativo para la seguridad de los sitios web afectados.