El plugin MaxiBlocks: 2200+ Patrones, 190 Páginas, 14.2K Iconos & 100 Estilos para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta del archivo en las funciones maxi_remove_custom_image_size y maxi_add_custom_image_size en todas las versiones hasta, e incluyendo, la 1.9.2. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminar archivos arbitrarios en el servidor, lo que puede llevar fácilmente a la ejecución remota de código cuando se elimina el archivo correcto (como wp-config.php).
Los usuarios afectados por esta vulnerabilidad pueden mitigar el riesgo manteniendo actualizado el plugin a la última versión disponible. Además, se recomienda restringir el acceso de los usuarios a roles con privilegios mínimos necesarios y vigilar de cerca las actividades sospechosas en el sitio.
Es fundamental para la seguridad de un sitio web WordPress estar al tanto de las vulnerabilidades en los plugins instalados y tomar medidas proactivas para protegerse contra posibles ataques. Mantenerse informado y seguir buenas prácticas de seguridad puede ayudar a prevenir incidentes devastadores en línea.