El plugin Panda Video para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 1.4.0 a través del parámetro ‘selected_button’. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos.
La vulnerabilidad radica en una limitación inapropiada de una ruta de acceso a un directorio restringido (‘Traversing de Rutas’). Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Panda Video a la última versión disponible lo antes posible para mitigar el riesgo de ser explotados. Además, se recomienda revisar y restringir los permisos de los usuarios en WordPress, limitando el acceso de los roles de Contributor y superiores a la inclusión de archivos.
Es crucial que los usuarios tomen medidas proactivas para proteger sus sitios de WordPress y garantizar la seguridad de su información. Permanecer al tanto de las actualizaciones de los plugins y mantener una política de seguridad estricta son factores clave para prevenir vulnerabilidades como esta.