El plugin Penci Soledad Data Migrator para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 1.3.0 a través del parámetro ‘data’. Esto permite que atacantes no autenticados incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto puede usarse para pasar por alto controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se pueden subir e incluir imágenes y otros tipos de archivo ‘seguros’. Esto está limitado solo a archivos PHP.
La vulnerabilidad CVE-2024-3551 se refiere a un problema en la forma en que el plugin Penci Soledad Data Migrator maneja las inclusiones de archivos locales no autenticados, lo cual puede ser explotado por atacantes con malas intenciones. Para mitigar este problema, los usuarios deben asegurarse de mantener el plugin actualizado a la última versión disponible. Además, se recomienda restringir el acceso al panel de administración de WordPress a usuarios confiables y monitorear de cerca los intentos de acceso no autorizados.
Es crucial que los administradores de sitios web que utilicen el plugin Penci Soledad Data Migrator estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios. Al seguir las recomendaciones de seguridad mencionadas, se puede reducir significativamente el riesgo de ser afectado por este tipo de ataques.