La vulnerabilidad CVE-2024-4551 afecta al plugin Video Gallery – YouTube Playlist, Channel Gallery by YotuWP para WordPress, permitiendo a atacantes autenticados con acceso de contribuidor o superior incluir y ejecutar archivos PHP arbitrarios en el servidor a través de la función de visualización.
La falta de control adecuado del nombre de archivo para las declaraciones Include/Require en programas PHP expone al plugin a una vulnerabilidad de Inclusión Remota de Archivos (PHP Remote File Inclusion). Esta vulnerabilidad existe en todas las versiones hasta la 1.3.13. Los atacantes podrían aprovechar esta vulnerabilidad para ejecutar código PHP malicioso en el servidor, lo que les permitiría eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se puedan cargar e incluir imágenes y otros tipos de archivos ‘seguros’.
Es crucial que los usuarios actualicen a la última versión del plugin (si está disponible) y revisen regularmente sus sitios en busca de actividades sospechosas. Además, se recomienda limitar el acceso de los usuarios a roles con permisos estrictamente necesarios para reducir el riesgo de explotación de esta vulnerabilidad.