El tema Avada | Website Builder For WordPress & WooCommerce para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ajax_import_options() en todas las versiones hasta, e incluyendo, la 7.11.4. Esto permite que atacantes autenticados, con acceso de nivel de contribuidor y superior, suban archivos arbitrarios en el servidor del sitio afectado lo que podría permitir la ejecución remota de código.
Los usuarios afectados por esta vulnerabilidad deben actualizar su tema Avada a la última versión disponible, en este caso a partir de la versión 7.11.5, donde se han implementado medidas de seguridad para prevenir la subida de archivos arbitrarios. Además, se recomienda a los administradores del sitio revisar y limitar los permisos de los roles de usuario, especialmente aquellos con niveles de acceso de contribuidor y superiores, para evitar posibles ataques de usuarios malintencionados.
Es fundamental que los propietarios de sitios web que utilizan el tema Avada | Website Builder For WordPress & WooCommerce se mantengan al tanto de las actualizaciones de seguridad y sigan las mejores prácticas de seguridad digital para proteger sus sitios de posibles vulnerabilidades.