El plugin Brizy – Page Builder para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de extensiones de archivos en la función validateImageContent llamada a través de storeImages en todas las versiones hasta la 2.4.43. Esto permite a los atacantes autenticados, con acceso de contribuidor o superior, subir archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución de código remoto. La versión 2.4.44 evita la subida de archivos que terminen en .sh y .php. La versión 2.4.45 parchea completamente el problema.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin Brizy – Page Builder a la última versión disponible (2.4.45) para evitar la posibilidad de subida de archivos peligrosos. Además, se recomienda restringir los permisos de los colaboradores y superiores en el sitio web para reducir el riesgo de que un atacante pueda aprovechar esta vulnerabilidad. Se debe estar atento a futuras actualizaciones del plugin y mantenerse informado sobre posibles vulnerabilidades.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para garantizar la seguridad de tu sitio web. La rápida actualización a la versión 2.4.45 del plugin Brizy – Page Builder ayudará a proteger tu sitio contra posibles ataques de subida de archivos arbitrarios.