El plugin SKT Page Builder para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de comprobación de capacidades en la función ‘addLibraryByArchive’ en todas las versiones hasta, e incluyendo, la 4.6. Esto permite a atacantes autenticados, con acceso de nivel subscriptor y superior, subir archivos arbitrarios que permiten la ejecución de código remoto.
Para mitigar este problema, se recomienda a los usuarios actualizar el plugin SKT Page Builder a la última versión disponible. Además, es aconsejable limitar los permisos de los usuarios en WordPress, asegurándose de que solo tengan acceso a lo estrictamente necesario para llevar a cabo sus funciones en el sitio.
La falta de comprobación de capacidades en el plugin SKT Page Builder hasta la versión 4.6 representa un riesgo de seguridad significativo para los sitios web de WordPress. Tomar las medidas mencionadas anteriormente puede ayudar a prevenir posibles ataques de subida de archivos arbitrarios y proteger la integridad de su sitio.