El plugin ‘moveto’ para WordPress es vulnerable a la subida arbitraria de archivos debido a la falta de validación de tipo de archivo en una función desconocida en todas las versiones hasta, e incluyendo, la 6.2. Esto permite a atacantes no autenticados subir archivos arbitrarios en el servidor del sitio afectado, lo que puede permitir la ejecución remota de código.
El plugin ‘moveto’ para WordPress es ampliamente utilizado para mover archivos entre diferentes medios de almacenamiento, sin embargo, presenta una vulnerabilidad que permite a atacantes no autenticados subir archivos arbitrarios en el servidor del sitio afectado.
La falta de validación de tipo de archivo en una función desconocida del plugin facilita a los atacantes subir cualquier tipo de archivo al servidor, incluyendo archivos maliciosos que pueden ser utilizados para la ejecución remota de código.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios de WordPress que tengan instalado el plugin ‘moveto’ que actualicen a la última versión disponible lo antes posible. Además, se debe realizar una revisión de seguridad en el servidor en busca de archivos maliciosos y se deben eliminar de inmediato.
La vulnerabilidad de subida de archivos arbitraria en el plugin ‘moveto’ para WordPress es un grave problema de seguridad que puede permitir la ejecución remota de código en un sitio afectado. Es crucial mantener el plugin actualizado y realizar una revisión de seguridad en busca de archivos maliciosos para protegerse contra esta vulnerabilidad.