El plugin Default Thumbnail Plus para WordPress es vulnerable a la subida arbitraria de archivos debido a la falta de validación del tipo de archivo en la función ‘get_cache_image’ en todas las versiones hasta, e incluyendo, la 1.0.2.3. Esto permite a atacantes autenticados, con permisos de contribuidor o superiores, subir archivos arbitrarios en el servidor del sitio afectado, lo que puede permitir la ejecución remota de código.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible para mitigar el riesgo de sufrir un ataque. Además, se recomienda restringir los permisos de los roles de usuario en WordPress para limitar la posibilidad de que un atacante pueda aprovechar esta vulnerabilidad. También se aconseja monitorizar de cerca cualquier actividad inusual en el sitio web para detectar posibles intentos de ataque.
La subida de archivos arbitrarios es una vulnerabilidad grave que puede causar daños significativos a un sitio web. Mantener todos los plugins y temas de WordPress actualizados, así como seguir buenas prácticas de seguridad, son pasos clave para protegerse contra este tipo de amenazas.