El plugin Media.net Ads Manager para WordPress es vulnerable a la carga arbitraria de archivos debido a la falta de validación de tipos de archivos y la falta de comprobación de capacidades en la función ‘sendMail’ en todas las versiones hasta, e incluyendo, la 2.10.13. Esto permite a atacantes autenticados, con permisos de nivel suscriptor y superior, cargar archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución de código remoto. La vulnerabilidad solo es explotable si alguien ha iniciado sesión a través de la API.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión disponible del plugin Media.net Ads Manager tan pronto como sea posible. Además, se aconseja a los administradores del sitio restringir el acceso y los permisos de los usuarios para reducir el riesgo de posibles ataques de cargas de archivos arbitrarios. Es fundamental mantener al día todas las medidas de seguridad de WordPress y de los plugins instalados para evitar posibles brechas de seguridad.
Es crucial para los administradores de sitios web de WordPress estar al tanto de las vulnerabilidades en los plugins y tomar medidas proactivas para proteger sus sitios. Mantener todos los plugins actualizados y restringir los permisos de los usuarios pueden ayudar a prevenir posibles ataques de carga de archivos arbitrarios en el futuro.