El plugin Post Grid Master – Tipos de Entradas Personalizadas, Taxonomías y Filtros Ajax Todo con Desplazamiento Infinito, Carga Más, Paginación y Constructor de Shortcodes para WordPress es vulnerable a la Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 3.4.12 a través de la función ‘locate_template’. Esto permite que atacantes no autenticados incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos.
La inclusión de archivos locales sin autorización puede ser explotada por los atacantes para eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en los casos en los que se puedan subir e incluir imágenes y otros tipos de archivos ‘seguros’. El archivo incluido debe tener una extensión .php. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y verificar regularmente la integridad de sus archivos y directorios para detectar posibles inclusiones no autorizadas.
Es importante tomar medidas proactivas para protegerse contra esta vulnerabilidad, como actualizar el plugin Post Grid Master y monitorear de cerca cualquier actividad sospechosa en el servidor para detectar posibles intentos de explotación.