El plugin FileOrganizer – Manage WordPress and Website Files para WordPress es vulnerable a Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 1.1.4 a través del parámetro ‘default_lang’. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos.
El problema radica en una limitación inadecuada de una ruta de acceso a un directorio restringido (‘Path Traversal’). Los atacantes pueden aprovechar esta vulnerabilidad para eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se puedan cargar e incluir imágenes y otros tipos de archivos ‘seguros’. Es importante que los usuarios actualicen su plugin FileOrganizer a la versión más reciente para mitigar esta vulnerabilidad. Además, se recomienda restringir los privilegios de los usuarios y monitorear el tráfico web en busca de comportamientos sospechosos.
La inclusión local de archivos es una vulnerabilidad seria que puede tener consecuencias devastadoras para la seguridad de un sitio web. Es fundamental tomar medidas proactivas para protegerse contra este tipo de ataques, como mantener todo el software actualizado y seguir las mejores prácticas de seguridad en WordPress.