La vulnerabilidad CVE-2024-7145 en el plugin de JetElements para WordPress permite a atacantes autenticados, con acceso de Contribuidor o superior, incluir y ejecutar archivos arbitrarios en el servidor a través del parámetro ‘progress_type’. Esto puede llevar a la ejecución de código PHP malicioso y comprometer la seguridad del sitio web.
La falta de limitación adecuada de rutas a directorios restringidos, también conocido como ‘Path Traversal’, es la causa de esta vulnerabilidad en JetElements. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la versión 2.6.21 o posterior, donde se han implementado medidas de seguridad para prevenir la inclusión de archivos locales no autorizados. Además, se debe monitorear de cerca el acceso de los usuarios con privilegios de Contribuidor y asegurarse de que no realicen actividades maliciosas.
Es fundamental que los administradores de sitios web con JetElements instalado tomen medidas proactivas para proteger sus plataformas y evitar posibles ataques de inclusión de archivos locales. Mantener el software actualizado, realizar revisiones de seguridad periódicas y restringir los privilegios de usuarios contribuidores son buenas prácticas para garantizar la integridad de su sitio WordPress.