El plugin Salon Booking System para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función SLN_Action_Ajax_ImportAssistants junto con la falta de comprobaciones de autorización en todas las versiones hasta, e incluyendo, la 10.2. Esto hace posible que atacantes no autenticados suban archivos arbitrarios al servidor del sitio afectado, lo que puede permitir la ejecución remota de código.
Para subsanar este problema, los usuarios deben actualizar el plugin Salon Booking System a la última versión disponible, en este caso 10.3, que incluye parches de seguridad para evitar la subida de archivos arbitrarios no autenticados. Además, se recomienda restringir el acceso al panel de administración de WordPress solo a usuarios autorizados y vigilar de cerca cualquier actividad sospechosa en el sitio.
Es crucial tomar medidas proactivas para proteger los sitios de WordPress contra vulnerabilidades como la subida de archivos arbitrarios no autenticados. Mantener todos los plugins y temas actualizados, implementar medidas de seguridad adicionales y realizar copias de seguridad regularmente son pasos importantes para garantizar la seguridad en línea.