El plugin de envío de Aramex para WooCommerce en WordPress es vulnerable a la Revelación de Ruta Completa en todas las versiones hasta, e incluyendo, la 1.1.21. Esto se debe a que el plugin no impide el acceso directo al archivo composer-setup.php que también tiene display_errors habilitado. Esto hace posible que los atacantes no autenticados puedan recuperar la ruta completa de la aplicación web, lo que puede ser utilizado para facilitar otros ataques. La información mostrada no es útil por sí sola y requiere que exista otra vulnerabilidad para causar daño a un sitio web afectado.
Los usuarios afectados por esta vulnerabilidad deben tomar medidas para proteger su sitio web. Una posible solución es restringir el acceso directo al archivo composer-setup.php a través de configuraciones de permisos en el servidor. Además, se recomienda desactivar la visualización de errores en producción para evitar que se revele información sensible. Los propietarios de sitios web también deben estar atentos a futuras actualizaciones del plugin que aborden esta vulnerabilidad y aplicarlas tan pronto como estén disponibles.
Es fundamental para los propietarios de sitios web actuar rápidamente para remediar esta vulnerabilidad y proteger su seguridad en línea. Siguiendo las recomendaciones mencionadas, se puede reducir el riesgo de exposición de información confidencial y posibles ataques a su sitio web.