El plugin LA-Studio Element Kit for Elementor para WordPress es vulnerable a la Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 1.3.8.1 a través del parámetro ‘map_style’. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos.
La vulnerabilidad conocida como CVE-2024-5349 se debe a una Limitación Impropera de una Ruta a un Directorio Restringido (‘Travesía de Ruta’). Esto puede ser explotado por atacantes para sortear controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos en los que imágenes y otros tipos de archivos ‘seguros’ pueden ser cargados e incluidos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin LA-Studio Element Kit for Elementor a la última versión disponible, que corrija esta vulnerabilidad. Adicionalmente, se recomienda a los administradores del sitio restringir el acceso de los usuarios a los niveles estrictamente necesarios para sus funciones, limitando así el impacto de posibles ataques.
Es imperativo tomar medidas proactivas para proteger la seguridad de tu sitio web WordPress. Mantener todos los plugins y temas actualizados, así como restringir los niveles de acceso de los usuarios, son pasos fundamentales para prevenir ataques como la inclusión local de archivos. La seguridad de tu sitio web es responsabilidad de todos los involucrados en su gestión.