El plugin Hello World para WordPress es vulnerable a la lectura de archivos arbitrarios en todas las versiones hasta, e incluyendo, la 2.1.1 a través de la función hello_world_lyric(). Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, leer el contenido de archivos arbitrarios en el servidor, los cuales pueden contener información sensible.
La vulnerabilidad CVE-2024-9224 explota una limitación inadecuada de una ruta de acceso a un directorio restringido (‘Traversal de Rutas’), lo que permite a los atacantes acceder a archivos que normalmente estarían fuera de su alcance. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Hello World a la última versión disponible (superior a la 2.1.1) o desactivarlo si no es necesario para el funcionamiento del sitio. Además, se recomienda llevar a cabo auditorías de seguridad periódicas para identificar y mitigar posibles vulnerabilidades en plugins y temas instalados.
Es crucial mantener todos los plugins y temas de WordPress actualizados para protegerse contra posibles ataques. Al tomar medidas proactivas, como instalar actualizaciones de seguridad y realizar auditorías de vulnerabilidades, los usuarios pueden reducir significativamente el riesgo de compromiso de su sitio web.