El plugin Social Auto Poster para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘wpw_auto_poster_get_image_path’ en todas las versiones hasta, e incluyendo, la 5.3.14. Esto permite que atacantes autenticados, con permisos de nivel Contributor y superiores, suban archivos arbitrarios al servidor del sitio afectado, lo que puede permitir la ejecución remota de código. Un atacante puede utilizar CVE-2024-6754 para explotar con acceso de nivel suscriptor.
Los usuarios afectados por esta vulnerabilidad deben tomar medidas inmediatas para proteger su sitio. Se recomienda actualizar el plugin Social Auto Poster a la última versión disponible lo antes posible. Además, se debe limitar el acceso a los roles de usuario que no necesitan permisos de contribuidor o superiores para reducir el riesgo de explotación. Por último, se debe monitorear de cerca cualquier actividad sospechosa en el servidor para detectar posibles intentos de subida de archivos arbitrarios.
Es fundamental que los usuarios de WordPress tomen en serio la seguridad de sus sitios web y apliquen las medidas necesarias para protegerse contra posibles ataques como el descrito en este artículo. La actualización continua de plugins y la restricción de permisos de usuario son prácticas recomendadas para mantener la integridad y seguridad de un sitio WordPress.