El plugin Icons Font Loader para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘upload’ en versiones hasta, e incluyendo, 1.1.4. Esto permite que atacantes autenticados, con acceso de administrador y superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo cual podría permitir la ejecución remota de código.
La vulnerabilidad en Icons Font Loader <= 1.1.4 permite a un atacante con acceso de administrador o superior cargar y ejecutar archivos arbitrarios en el servidor del sitio. Esto podría dar lugar a una ejecución remota de código, lo que potencialmente podría comprometer toda la infraestructura del sitio web.
Para subsanar este problema, se recomienda actualizar el plugin a la última versión disponible. Esto garantizará que se corrijan las vulnerabilidades conocidas y se implementen medidas de seguridad adicionales.
Además de aplicar la actualización, se debe realizar una revisión exhaustiva de los archivos cargados en el servidor del sitio. Esto implica verificar que los mismos pertenezcan a los usuarios legítimos y no representen una amenaza de seguridad.
Es importante además, establecer políticas de seguridad sólidas para las contraseñas de los usuarios con acceso de administrador. Las contraseñas deben ser robustas y de uso exclusivo para evitar posibles ataques de acceso no autorizado. También se sugiere habilitar la autenticación de dos factores para reforzar aún más la seguridad de las cuentas de administrador.
La vulnerabilidad de carga de archivos arbitrarios en el plugin Icons Font Loader <= 1.1.4 puede tener graves consecuencias para la seguridad de un sitio web. Es vital que los usuarios afectados tomen medidas inmediatas para mitigar el riesgo. Actualizar el plugin a la última versión, revisar los archivos cargados en el servidor y fortalecer las contraseñas de los usuarios con acceso de administrador son medidas esenciales para subsanar este problema.
