El plugin Customizer Export/Import para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función ‘_import’ en todas las versiones hasta, e incluyendo, la 0.9.7. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, subir archivos arbitrarios en el servidor del sitio afectado, lo que puede permitir la ejecución remota de código. TENGA EN CUENTA: Esta vulnerabilidad solo es explotable cuando se utiliza junto con una condición de carrera ya que el archivo subido se elimina poco después de que se crea.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin Customizer Export/Import para corregir este problema de seguridad. Además, se recomienda limitar el acceso de los usuarios a roles que no sean de Administrador para reducir la exposición a posibles ataques. Se debe monitorear de cerca cualquier actividad sospechosa en el sitio y realizar copias de seguridad periódicas para poder restaurar rápidamente en caso de compromiso.
La importancia de mantener todos los plugins y temas actualizados no puede ser subestimada, ya que muchas vulnerabilidades se corrigen en las actualizaciones. Al tomar medidas proactivas para proteger su sitio WordPress, se puede reducir significativamente el riesgo de intrusos aprovechando vulnerabilidades conocidas.