El plugin Elementor Addons by Livemesh para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 8.3.7 a través de varios de los widgets del plugin mediante el atributo ‘style’. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de código PHP en esos archivos.
La vulnerabilidad conocida como CVE-2024-2385 se debe a la Limitación Incorrecta de un Nombre de Ruta a un Directorio Restringido (‘Travesía de Rutas’). Los usuarios afectados pueden tomar medidas para mitigar este problema actualizando el plugin Elementor Addons by Livemesh a la última versión disponible, en este caso, la 8.3.8. Adicionalmente, se recomienda revisar y limitar los permisos de los usuarios que tienen acceso al panel de administración de WordPress, especialmente aquellos con roles de contribuidor o superiores.
Es importante tomar medidas proactivas para proteger la seguridad de tu sitio web en WordPress y evitar posibles vulnerabilidades como la Inclusión de Archivos Locales en plugins. Mantener actualizados todos los plugins y temas, así como restringir los permisos de los usuarios, son pasos cruciales para mantener la integridad de tu sitio.