El plugin JetTabs para Elementor en WordPress es vulnerable a Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 2.2.3 a través del parámetro ‘switcher_preset’. Esto permite que atacantes autenticados, con acceso de nivel Contributor y superior, incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos.
Esta vulnerabilidad surge de una limitación inadecuada del nombre de ruta a un directorio restringido (‘Traversal de Ruta’). Los usuarios afectados deben actualizar su instalación de JetTabs a la última versión disponible (superior a la 2.2.3) para evitar posibles ataques de inclusión de archivos locales. Además, se recomienda restringir el acceso de los usuarios a niveles mínimos necesarios para sus funciones en WordPress, y monitorear de cerca cualquier actividad sospechosa en el sitio.
Es fundamental para los usuarios de JetTabs para Elementor tomar medidas proactivas para proteger sus sitios web frente a esta vulnerabilidad conocida. Mantener todos los plugins y temas actualizados, implementar prácticas seguras de gestión de usuarios y mantener un monitoreo constante de la seguridad del sitio son pasos clave para mitigar el riesgo de explotación de vulnerabilidades.