El plugin de WordPress GiveWP – Donation Plugin and Fundraising Platform es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 3.15.1. Esto se debe a que el plugin utiliza Symfony y deja display_errors activado dentro de los archivos de prueba. Esto hace posible que atacantes no autenticados puedan recuperar la ruta completa de la aplicación web, lo cual puede ser utilizado para facilitar otros ataques. La información mostrada no es útil por sí sola, y requiere que otra vulnerabilidad esté presente para causar daño a un sitio web afectado.
Para mitigar este problema, se recomienda a los usuarios de GiveWP actualizar su plugin a la última versión disponible, en este caso, la versión 3.15.2 o posterior. Además, se sugiere desactivar la opción display_errors en entornos de producción para evitar posibles divulgaciones de información sensible. Es importante mantener siempre todos los plugins y temas de WordPress actualizados para reducir el riesgo de explotación de vulnerabilidades conocidas.
La Divulgación de Ruta Completa en el plugin GiveWP puede ser un problema potencial para la seguridad de un sitio web. Al seguir las recomendaciones de actualización y configuración mencionadas, los usuarios pueden reducir la exposición a este tipo de riesgos y proteger sus sitios de posibles ataques.