Este reporte discute una vulnerabilidad de Inclusión de Archivo Local en el plugin LA-Studio Element Kit for Elementor para WordPress, que afecta a todas las versiones hasta la 1.3.8.1. Esta vulnerabilidad permite a atacantes autenticados, con nivel de acceso de Contribuidor o superior, incluir y ejecutar archivos arbitrarios en el servidor.
La vulnerabilidad CVE-2024-37479 radica en el atributo ‘progress_type’ del widget Barra de Progreso, lo que posibilita la ejecución de código PHP malicioso en el servidor. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin LA-Studio Element Kit for Elementor a la versión más reciente disponible. Además, se sugiere restringir el acceso de los usuarios a roles de menor privilegio para minimizar el impacto de posibles ataques.
Es crucial para los usuarios de WordPress mantener sus plugins actualizados y revisar regularmente las vulnerabilidades conocidas en los mismos. Al implementar buenas prácticas de seguridad, se puede reducir significativamente el riesgo de explotación de vulnerabilidades como la Inclusión de Archivos Locales en WordPress.