La vulnerabilidad en el plugin Hash Form – Drag & Drop Form Builder para WordPress permite la subida limitada de archivos debido a una validación incorrecta del tipo de archivo en la función ‘handleUpload’ en todas las versiones hasta, e incluyendo, la 1.1.9. Esto permite a atacantes no autenticados subir archivos que están excluidos tanto de los arrays ‘allowedExtensions’ como ‘unallowed_extensions’ en el servidor del sitio afectado, incluyendo archivos que pueden contener scripts maliciosos.
Los usuarios afectados por esta vulnerabilidad pueden mitigar el riesgo actualizando el plugin a la última versión disponible, en la cual se han corregido estos problemas de validación de archivos. Además, se recomienda restringir el acceso al área de administración de WordPress solo a usuarios autorizados para evitar posibles acciones maliciosas.
Es fundamental mantener actualizados todos los plugins y temas utilizados en un sitio WordPress, así como implementar medidas de seguridad adicionales, como la limitación de los tipos de archivos que se pueden subir a través de formularios en línea, para protegerse contra potenciales amenazas informáticas.