La vulnerabilidad CVE-2024-11391 permite a atacantes autenticados con nivel de acceso de Suscriptor y superior, y con permisos otorgados por un Administrador, cargar archivos arbitrarios en el servidor del sitio afectado a través del plugin Gestor de archivos avanzado para WordPress.
El plugin Gestor de archivos avanzado para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo a través del archivo ‘class_fma_connector.php’ en todas las versiones hasta, e incluyendo, la 5.2.10. Esto permite a los atacantes autenticados, con acceso de Suscriptor y superior, y con permisos otorgados por un Administrador, cargar archivos arbitrarios en el servidor del sitio afectado lo cual puede permitir la ejecución remota de código.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible, así como restringir los permisos de los usuarios con acceso al plugin para evitar la carga de archivos arbitrarios.