El plugin Click to Chat – HoliThemes para WordPress es vulnerable a Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 3.35. Esto permite a atacantes autenticados, con acceso de contribuyente o superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de código PHP en esos archivos.
Esta vulnerabilidad, identificada con el ID CVE CVE-2024-3849, se debe a un control inapropiado de los nombres de los archivos para la declaración Include/Require en programas PHP (‘PHP Remote File Inclusion’). Los atacantes pueden aprovechar esta vulnerabilidad para eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se puedan subir e incluir imágenes u otros tipos de archivos ‘seguros’.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Click to Chat – HoliThemes a la versión más reciente disponible. Además, es importante restringir los permisos de los usuarios dentro de WordPress para limitar el acceso a funciones de administración y evitar la inclusión de archivos no autorizados.