Recopilación de vulnerabilidades WordPress.

FileOrganizer <= 1.0.9 – Subida de Archivos Arbitrarios (Subscriber+)

El plugin FileOrganizer – Gestionar archivos de WordPress y del sitio web para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘fileorganizer_ajax_handler’ en todas las versiones hasta, e incluyendo, la 1.0.9. Esto permite que atacantes autenticados, con acceso de nivel Subscriber y superior, y permisos otorgados por un administrador, suban archivos arbitrarios en el servidor del sitio afectado, lo que puede posibilitar la ejecución remota de código. NOTA: El plugin FileOrganizer Pro debe estar instalado y activo para permitir a los usuarios Subscriber+ subir archivos.

Los usuarios afectados por esta vulnerabilidad deben desactivar temporalmente el plugin FileOrganizer o actualizarlo a la última versión disponible que haya solucionado este problema. También se recomienda revisar los permisos de los usuarios para garantizar que solo tengan acceso a las funcionalidades necesarias y revocar cualquier permiso innecesario. Es importante mantener un monitoreo constante de la actividad del sitio en busca de posibles intrusiones.
La subida de archivos arbitrarios es una vulnerabilidad grave que puede comprometer la seguridad de un sitio web. Es fundamental tomar medidas preventivas como las mencionadas anteriormente para mitigar el riesgo de explotación de esta vulnerabilidad en el plugin FileOrganizer hasta que se haya aplicado una solución definitiva.

Related Article