El plugin Glossary para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 2.2.26. Esto se debe a que el plugin utiliza wpdesk y no impide el acceso directo a los archivos de prueba, junto con la activación de display_errors. Esto hace posible que atacantes no autenticados recuperen la ruta completa de la aplicación web, lo que puede utilizarse para ayudar en otros ataques. La información mostrada no es útil por sí sola y requiere que exista otra vulnerabilidad para causar daño en un sitio web afectado.
Una solución temporal para los usuarios de este plugin es desactivar display_errors en el archivo de configuración de PHP para evitar la divulgación de información sensible. Además, se recomienda actualizar el plugin Glossary a la última versión disponible para corregir esta vulnerabilidad. Los administradores de sitios web también pueden considerar restringir el acceso a los archivos de prueba del plugin para impedir que los atacantes accedan a la ruta completa de la aplicación.
Es crucial que los usuarios y administradores de sitios web estén al tanto de las vulnerabilidades en los plugins de WordPress y tomen medidas rápidas para proteger sus sitios. Mantenerse actualizado con las últimas versiones de los plugins y seguir las buenas prácticas de seguridad puede ayudar a prevenir posibles ataques y proteger la integridad de los sitios web.