La vulnerabilidad Cross-Site Request Forgery (CSRF) en el complemento File Manager para WordPress afecta a todas las versiones hasta la 7.2.4. Esto se debe a la falta de validación de nonce en la página wp_file_manager que incluye archivos a través del parámetro ‘lang’. Esto permite a atacantes no autenticados incluir archivos JavaScript locales que pueden ser utilizados para lograr RCE a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. Este problema fue parcialmente parcheado en la versión 7.2.4, y totalmente parcheado en la 7.2.5.
Para subsanar esta vulnerabilidad, se recomienda actualizar el complemento File Manager a la última versión disponible (7.2.5) y seguir las buenas prácticas de seguridad, como no hacer clic en enlaces sospechosos o de origen desconocido. Además, se aconseja a los administradores de sitios web realizar auditorías de seguridad periódicas para detectar posibles vulnerabilidades y mantenerse al tanto de las actualizaciones de seguridad de los complementos utilizados en WordPress.
Es fundamental tomar medidas proactivas para proteger los sitios web de posibles ataques CSRF y otras amenazas de seguridad. La actualización regular de complementos y el seguimiento de las mejores prácticas de seguridad pueden ayudar a mitigar el riesgo de explotación de vulnerabilidades conocidas como la presente en File Manager <= 7.2.4.