Recopilación de vulnerabilidades WordPress.

Advanced File Manager 5.2.12 – 5.2.13 – Subida de Archivos Arbitrarios Autenticados (Suscriptor+)

La vulnerabilidad CVE-2024-13333 en el plugin Advanced File Manager para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘fma_local_file_system’ en las versiones 5.2.12 a 5.2.13. Esto permite que atacantes autenticados, con nivel de acceso de Suscriptor y superior, y permisos de subida otorgados por un administrador, suban archivos arbitrarios en el servidor del sitio afectado, lo cual puede permitir la ejecución remota de código. Esta vulnerabilidad solo se puede explotar si la opción ‘¿Mostrar .htaccess?’ está habilitada.

Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar inmediatamente el plugin Advanced File Manager a una versión corregida. Además, se deben restringir los permisos de subida de archivos solo a roles de usuario confiables y limitar los permisos de administración. También es importante deshabilitar la opción ‘¿Mostrar .htaccess?’ si no es necesario para el funcionamiento del sitio.
Es crucial realizar las acciones preventivas mencionadas para proteger tu sitio WordPress de posibles ataques de subida de archivos arbitrarios. Mantener tu software actualizado y seguir buenas prácticas de seguridad pueden ayudar a mitigar este tipo de amenazas.

Related Article