Recopilación de vulnerabilidades WordPress.

Eventer <= 3.9.7 – Lectura de Archivos Arbitrarios (Suscriptor+)

El plugin Eventer para WordPress es vulnerable a Traversal de Directorios en todas las versiones hasta, e incluyendo, la 3.9.7 a través de la función eventer_woo_download_tickets(). Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, leer el contenido de archivos arbitrarios en el servidor, los cuales pueden contener información sensible.

Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Eventer disponible. Además, se deben revisar los permisos de acceso de los roles de usuario en WordPress para evitar que los Suscriptores y otros roles con acceso limitado puedan realizar acciones maliciosas como la lectura de archivos arbitrarios.
Es importante mantener actualizados todos los plugins y temas de WordPress para prevenir posibles vulnerabilidades de seguridad como esta. La seguridad de un sitio web es responsabilidad de sus administradores y usuarios, por lo que se deben tomar medidas proactivas para proteger la información sensible.

Related Article