El plugin No Update Nag para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 1.4.12. Esto se debe a que el plugin permite el acceso directo al archivo bootstrap.php que tiene display_errors activado. Esto hace posible que atacantes no autenticados puedan recuperar la ruta completa de la aplicación web, lo cual puede ser utilizado para llevar a cabo otros ataques. La información mostrada no es útil por sí sola y requiere de otra vulnerabilidad para causar daño a un sitio web afectado.
Los usuarios afectados por esta vulnerabilidad deben tomar medidas inmediatas para mitigar el riesgo. Una solución recomendada es actualizar el plugin No Update Nag a la última versión disponible, en la cual se haya corregido esta vulnerabilidad. Además, se recomienda revisar la configuración de seguridad de WordPress en busca de posibles errores de configuración que podrían ser aprovechados por atacantes.
Es crucial que los propietarios de sitios web de WordPress tomen en serio la seguridad de sus instalaciones y estén al tanto de las vulnerabilidades conocidas en los plugins que utilizan. La divulgación de ruta completa no autenticada puede parecer un problema menor, pero puede ser el primer paso para un ataque más devastador si no se aborda adecuadamente.