El complemento Classic Addons – WPBakery Page Builder para WordPress es vulnerable a Inclusión de Archivo PHP Local Limitada en todas las versiones hasta, e incluyendo, 3.0 a través del parámetro ‘style’. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, y permisos otorgados por un Administrador, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esta vulnerabilidad se limita a archivos PHP en un entorno de Windows.
La vulnerabilidad CVE-2024-11952 en el plugin Classic Addons – WPBakery Page Builder permite a atacantes autenticados con ciertos niveles de acceso incluir y ejecutar archivos PHP arbitrarios en el servidor. Para solucionar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la cual se haya corregido esta vulnerabilidad. Asimismo, se aconseja restringir los accesos de los usuarios a los roles necesarios y evitar otorgar permisos innecesarios para reducir el riesgo de explotación.
Es crucial mantener todos los plugins y temas de WordPress actualizados para evitar posibles vulnerabilidades de seguridad. En el caso de Classic Addons – WPBakery Page Builder, es imperativo aplicar la actualización que solucione esta vulnerabilidad y seguir buenas prácticas de seguridad en la gestión de roles y permisos de los usuarios.