La vulnerabilidad de Inclusión de Archivos Locales en el plugin Video Gallery – YouTube Playlist, Channel Gallery by YotuWP para WordPress, en versiones hasta la 1.3.13 a través del parámetro de configuración, permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, lo que posibilita la ejecución de código PHP en esos archivos.
La vulnerabilidad CVE-2024-4258 se produce debido al control inapropiado del nombre del archivo para la declaración de Include/Require en programas PHP (‘Inclusión de Archivo Remoto en PHP’). Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible de forma inmediata. Además, se sugiere revisar regularmente los logs del servidor en busca de actividad sospechosa y restringir el acceso no necesario a los archivos del plugin.
La Inclusión de Archivos Locales no autenticada en el plugin Video Gallery – YouTube Playlist, Channel Gallery by YotuWP representa una amenaza significativa para la seguridad de los sitios WordPress que lo utilicen. Al tomar medidas preventivas como mantener actualizado el plugin y monitorear de cerca la actividad del servidor, se puede reducir el riesgo de explotación de esta vulnerabilidad.