El plugin Advanced File Manager para WordPress es vulnerable a la Inclusión Local de Archivos JavaScript en todas las versiones hasta, e incluyendo, la 5.2.8 a través del parámetro ‘fma_locale’. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto puede ser utilizado para evadir controles de acceso, obtener datos sensibles o lograr ejecución de código en casos donde se pueden subir e incluir imágenes y otros tipos de archivos ‘seguros’.
La vulnerabilidad CVE-2024-8704 se basa en una limitación inadecuada de una ruta de acceso a un directorio restringido (‘traversal de ruta’). Para subsanar este problema, los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Advanced File Manager a la versión más reciente disponible. Además, se recomienda a los administradores de sitios web verificar y limitar los permisos de los usuarios con acceso al panel de administración de WordPress para reducir la posibilidad de que un atacante aproveche esta vulnerabilidad.
Es crucial que los usuarios de WordPress mantengan sus plugins actualizados y tomen medidas para garantizar la seguridad de sus sitios web. La inyección de archivos locales de JavaScript autenticados es una grave vulnerabilidad que puede tener consecuencias devastadoras si no se aborda de inmediato.