El plugin Galería de Fotos por 10Web – Galería de Imágenes Compatible con Dispositivos Móviles para WordPress es vulnerable a Traversing de Ruta en todas las versiones hasta, e incluyendo, la 1.8.23 a través de la función esc_dir. Esto permite a atacantes autenticados cortar y pegar (copiar) el contenido de archivos arbitrarios en el servidor, que pueden contener información sensible, y cortar (eliminar) directorios arbitrarios, incluido el directorio raíz de WordPress. De forma predeterminada, esto puede ser explotado solo por administradores. En la versión premium del plugin, los administradores pueden otorgar permisos de edición de galería a usuarios de nivel inferior, lo que podría hacer que esto sea explotable por usuarios tan bajos como contribuidores.
La vulnerabilidad de Path Traversal en el plugin Photo Gallery by 10Web – Mobile-Friendly Image Gallery permite a los atacantes autenticados manipular los archivos y directorios del servidor, lo que podría conducir a la exposición de información confidencial o la eliminación de archivos importantes. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y limitar el acceso de los usuarios con permisos de edición de galería solo a aquellas personas realmente necesarias. Además, se sugiere monitorear de cerca cualquier actividad sospechosa en el sitio web para detectar posibles intentos de explotación de la vulnerabilidad.
Es crucial que los usuarios de Photo Gallery by 10Web – Mobile-Friendly Image Gallery actualicen sus sitios web a la última versión del plugin y sigan las buenas prácticas de seguridad, como limitar los accesos y monitorear la actividad del sitio para protegerse de posibles ataques que puedan surgir a través de esta vulnerabilidad de Traversing de Ruta.