En este informe de seguridad se revela una vulnerabilidad en la versión 8.3.4 y anteriores del complemento File Manager Pro para WordPress. Esta vulnerabilidad permite a usuarios autenticados con privilegios de suscriptor o superior realizar una subida arbitraria de archivos, lo que podría resultar en la ejecución de código malicioso en el servidor.
El complemento File Manager Pro para WordPress presenta una vulnerabilidad de subida arbitraria de archivos que afecta a todas las versiones hasta la 8.3.4. La vulnerabilidad se debe a un control inadecuado en la generación de código, lo que permite a los atacantes autenticados, con acceso de suscriptor o superior, ejecutar código en el servidor. Específicamente, esta vulnerabilidad se explota a través de la función AJAX mk_check_filemanager_php_syntax.
Para subsanar este problema, se recomienda actualizar el complemento a la versión 8.3.5 o posterior. En la versión 8.3.5, se ha introducido una verificación de capacidades que impide que los usuarios con privilegios inferiores a administrador ejecuten esta función.
Además de mantener el complemento actualizado, es fundamental seguir buenas prácticas de seguridad, como utilizar contraseñas seguras y únicas para las cuentas de usuario y restringir el acceso a los roles y privilegios necesarios.
La vulnerabilidad de subida arbitraria de archivos en el complemento File Manager Pro para WordPress puede permitir a usuarios autenticados con privilegios de suscriptor o superior ejecutar código malicioso en el servidor. Se recomienda actualizar a la versión 8.3.5 o posterior para evitar esta vulnerabilidad. Asimismo, es importante implementar buenas prácticas de seguridad para reducir el riesgo de ataques similares. Recuerda mantener tus complementos y temas actualizados y utilizar contraseñas seguras y únicas en tus cuentas de usuario.