El plugin Canto para WordPress es vulnerable a la Inclusión Remota de Archivos en todas las versiones hasta la 3.0.8 a través del parámetro abspath. Esto permite a atacantes no autenticados incluir archivos remotos en el servidor, lo que puede resultar en ejecución de código.
Esta vulnerabilidad se debe a un control inapropiado del nombre de archivo para la declaración Include/Require en programas PHP (también conocida como ‘PHP Remote File Inclusion’). Para subsanar este problema, los usuarios deben asegurarse de que el plugin Canto esté actualizado a la última versión disponible. Además, se recomienda deshabilitar la opción allow_url_include en el sitio web objetivo para prevenir posibles ataques de inclusión remota de archivos.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse contra posibles vulnerabilidades de seguridad. Al tomar medidas proactivas para asegurar que los plugins estén actualizados y siguiendo las mejores prácticas de seguridad, los propietarios de sitios web pueden reducir el riesgo de ser víctimas de ataques cibernéticos.