El complemento SchedulePress – Auto Publicar y Compartir en Redes Sociales, Programar Publicaciones con Calendario Editorial y Publicar Publicaciones Perdidas para WordPress es vulnerable a la Divulgación de Ruta Completa en todas las versiones hasta, e incluyendo, la 5.1.3.
Esto se debe a que el complemento utiliza la biblioteca wpdeveloper y deja los archivos de demostración en su lugar con display_errors activado. Esto hace posible que atacantes no autenticados recuperen la ruta completa de la aplicación web, lo que puede ser utilizado para ayudar en otros ataques. La información mostrada no es útil por sí sola, y requiere que otra vulnerabilidad esté presente para causar daño a un sitio web afectado.
Los usuarios afectados por esta vulnerabilidad deben desactivar o desinstalar el complemento SchedulePress y buscar una actualización o parche que corrija esta vulnerabilidad. Además, se recomienda a los administradores de sitios web restringir el acceso a los archivos de demostración y desactivar la visualización de errores en la configuración de PHP para prevenir futuras divulgaciones de ruta completa.