Recopilación de vulnerabilidades WordPress.

GPX Viewer <= 2.2.8 – Creación de Archivos Arbitrarios (Subscriber+ Autenticado)

La vulnerabilidad CVE-2024-10629 afecta al plugin GPX Viewer para WordPress y permite a atacantes autenticados con nivel de suscriptor y superiores, crear archivos arbitrarios en el servidor del sitio afectado, lo que podría facilitar la ejecución remota de código.

La vulnerabilidad se encuentra en la función gpxv_file_upload() de todas las versiones hasta la 2.2.8 del plugin GPX Viewer. La falta de verificación de capacidad y validación de tipo de archivo en esta función, permite a los atacantes autenticados con roles de suscriptor y superiores, subir archivos arbitrarios al servidor del sitio web comprometido. Esto puede representar un grave riesgo de seguridad, ya que los archivos creados podrían ser utilizados para ejecutar código remoto en el servidor.
Para mitigar este riesgo de seguridad, se recomienda a los usuarios actualizar el plugin GPX Viewer a la última versión disponible. También es importante mantener un monitoreo constante del sitio web en busca de actividad sospechosa y restringir los privilegios de los usuarios para reducir el impacto de posibles ataques.

Related Article