La vulnerabilidad CVE-2024-7031 en el plugin File Manager Pro – Filester para WordPress se debe a una falta de autorización en la función ‘njt_fs_saveSettingRestrictions’ en todas las versiones hasta, e incluyendo, la 1.8.2. Esto permite a atacantes autenticados, con un rol que haya sido otorgado permisos por un Administrador, actualizar los ajustes del plugin para restricciones de roles de usuario, incluyendo permitir la subida de tipos de archivos como .php.
Los usuarios afectados por esta vulnerabilidad deben actualizar de inmediato a la última versión del plugin, en este caso la 1.8.3, la cual corrige este problema de seguridad. Además, se recomienda revisar y limitar los permisos de los roles de usuario en WordPress para evitar que usuarios malintencionados accedan a funciones sensibles del plugin.
La falta de una verificación adecuada de capacidades en el plugin File Manager Pro – Filester podría permitir a atacantes autenticados modificar configuraciones sensibles. Por tanto, es crucial mantener siempre actualizados los plugins y limitar los permisos de los roles de usuario para mitigar este tipo de riesgos de seguridad.