El plugin Booster Elite for WooCommerce para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función wc_add_new_product() en todas las versiones hasta, e incluyendo, la 7.1.7. Esto hace posible que atacantes de nivel de cliente, y superiores, suban archivos arbitrarios en el servidor del sitio afectado lo cual puede permitir la ejecución remota de código. Esto solo es explotable cuando la funcionalidad de carga de productos de usuarios está habilitada.
Los usuarios afectados por esta vulnerabilidad deben tomar medidas inmediatas para proteger sus sitios. Se recomienda a los administradores de WordPress que actualicen el plugin Booster Elite for WooCommerce a la última versión disponible y que deshabiliten temporalmente la funcionalidad de carga de productos de los usuarios mientras tanto. Además, es importante monitorear de cerca cualquier actividad sospechosa en el sitio y realizar auditorías de seguridad regulares para identificar posibles amenazas.
La subida de archivos arbitrarios es una vulnerabilidad grave que puede tener repercusiones significativas en la seguridad de un sitio web. Al tomar medidas proactivas para mitigar este riesgo, los usuarios pueden proteger sus sitios de posibles ataques y mantener la integridad de su información en línea.