El plugin Funnelforms Free para WordPress es vulnerable a la eliminación arbitraria de archivos en todas las versiones hasta, e incluyendo, 3.7.3.2 a través de la función ‘af2DeleteFontFile’. Esta vulnerabilidad se debe a que el plugin no valida correctamente un archivo o su ruta antes de eliminarlo. Esto permite a atacantes no autenticados eliminar archivos arbitrarios, incluido el archivo wp-config.php, lo que puede llevar a la toma de control del sitio y la ejecución de código remoto.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Funnelforms Free a la última versión disponible lo antes posible. Además, se recomienda restringir el acceso al panel de administración de WordPress solo a usuarios autorizados y monitorear de cerca cualquier actividad sospechosa en el sitio para detectar posibles intentos de explotación.
Es crucial mantener todos los plugins de WordPress actualizados y seguir las mejores prácticas de seguridad para protegerse contra ataques como la eliminación de archivos arbitrarios. La vigilancia constante y la respuesta rápida a las vulnerabilidades conocidas son fundamentales para garantizar la seguridad de un sitio web.