El plugin BookingPress para WordPress es vulnerable a la carga de archivos arbitrarios debido a la validación insuficiente de los nombres de archivos en la función ‘bookingpress_process_upload’ en todas las versiones hasta, e incluyendo la 1.0.87. Esto permite a un atacante autenticado con capacidades de administrador o superiores cargar archivos arbitrarios en el servidor del sitio afectado, lo que permite la ejecución remota de código.
La vulnerabilidad CVE-2024-3022 en el plugin BookingPress puede ser explotada por atacantes autenticados para subir archivos maliciosos al servidor, lo que puede llevar a la ejecución remota de código. Para mitigar este riesgo, se recomienda a los usuarios actualizar su plugin BookingPress a la última versión disponible. Además, se recomienda limitar las capacidades de administrador solo a usuarios de confianza para reducir el riesgo de explotación de esta vulnerabilidad.
Es crucial que los administradores de sitios web que utilicen el plugin BookingPress estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios. Mantener todos los plugins y temas actualizados, así como implementar las prácticas de seguridad recomendadas, son pasos críticos para garantizar la seguridad de un sitio web WordPress.