El plugin JS Help Desk – The Ultimate Help Desk & Support Plugin para WordPress es vulnerable a inyección de código PHP que puede conducir a la ejecución de código remoto en todas las versiones hasta, e incluyendo, la 2.8.6 a través de la función ‘storeTheme’. Esta vulnerabilidad se debe a la falta de saneamiento en los valores proporcionados por el usuario, los cuales reemplazan valores en el archivo style.php, junto con la ausencia de comprobaciones de capacidad. Esto permite a atacantes no autenticados ejecutar código en el servidor.
La vulnerabilidad identificada como CVE-2024-7094 en el plugin JS Help Desk – The Ultimate Help Desk & Support Plugin para WordPress permite a un atacante no autenticado inyectar código PHP y potencialmente ejecutar código en remoto. Para mitigar este problema, se recomienda a los usuarios actualizar a la versión 2.8.7 o posterior, donde se han implementado medidas de protección adicionales como autorización y protección contra falsificación de solicitudes entre sitios (CSRF). Además, se sugiere realizar una revisión exhaustiva de la configuración del plugin y restringir el acceso a funciones sensibles solo a usuarios autorizados.
Es fundamental para la seguridad de tu sitio web mantener todos los plugins y temas actualizados, además de seguir las mejores prácticas de seguridad para prevenir ataques de inyección de código como el identificado en el plugin JS Help Desk. La actualización constante y la implementación de medidas de seguridad adicionales pueden ayudar a proteger tu sitio de posibles vulnerabilidades.