El plugin PDF Builder for WPForms para WordPress es vulnerable a la revelación de la ruta completa en todas las versiones hasta, e incluyendo, la 1.2.116. Esto se debe a que el plugin permite acceso directo al archivo composer-setup.php que tiene display_errors activado. Esto hace posible que atacantes no autenticados puedan recuperar la ruta completa de la aplicación web, lo que puede ser utilizado para llevar a cabo otros ataques. La información mostrada no es útil por sí sola, y requiere de otra vulnerabilidad para causar daño a un sitio web afectado.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin PDF Builder for WPForms a la última versión disponible. Además, se sugiere desactivar o restringir el acceso a archivos sensibles en el servidor, como composer-setup.php, para evitar posibles filtraciones de información sensible. Asimismo, se debe mantener el software de WordPress y sus plugins siempre actualizados para reducir la superficie de ataque y proteger el sitio contra posibles amenazas.
La revelación de la ruta completa sin autenticación en el plugin PDF Builder for WPForms puede ser un problema de seguridad grave que puede ser utilizado por atacantes para llevar a cabo otros ataques. Por lo tanto, es crucial tomar medidas preventivas como actualizar el plugin y restringir el acceso a archivos sensibles para proteger la integridad de la aplicación web.