La vulnerabilidad CVE-2024-6315 en el plugin Blox Page Builder para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘handleUploadFile’ en todas las versiones hasta, e incluyendo, la 1.0.65. Esto permite a atacantes autenticados, con permisos de contribuidor o superiores, cargar archivos arbitrarios en el servidor del sitio afectado, lo que puede permitir la ejecución remota de código.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Blox Page Builder a la última versión disponible, en este caso, la 1.0.66. Además, se recomienda restringir los permisos de los usuarios en el sitio de WordPress, limitando el acceso de contribuidores y roles superiores a la subida de archivos. También es importante monitorear de cerca cualquier actividad sospechosa en el sitio web.
Mantener el plugin Blox Page Builder actualizado y restringir adecuadamente los permisos de los usuarios son medidas clave para mitigar el riesgo de la subida de archivos arbitrarios en WordPress. Al seguir buenas prácticas de seguridad, se puede proteger eficazmente el sitio contra posibles ataques.