La vulnerabilidad CVE-2024-2203 se ha identificado en el complemento The Plus Addons for Elementor para WordPress en versiones hasta, e incluyendo, la 5.4.1. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel contribuyente y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que podría llevar a la ejecución de código PHP malicioso.
La vulnerabilidad de Inclusión Local de Archivos en el plugin The Plus Addons for Elementor permite a los atacantes autenticados con un nivel de acceso de contributor y superior, incluir archivos arbitrarios en el servidor para ejecutar código malicioso. Esto puede ser utilizado para eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se puedan subir e incluir imágenes y otros tipos de archivos ‘seguros’. La falta de limitación adecuada en la ruta de los archivos del widget de Clientes facilita esta vulnerabilidad, lo que representa un riesgo significativo para la seguridad del sitio web.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el complemento The Plus Addons for Elementor a la última versión disponible. Además, se deben monitorear de cerca las actividades de los usuarios autenticados con roles de contributor y superiores, y restringir el acceso a funciones sensibles del servidor. Es importante mantenerse alerta ante posibles intentos de explotación de esta vulnerabilidad y tomar medidas preventivas para proteger la integridad de la plataforma WordPress.