La vulnerabilidad CVE-2024-5853 permite la carga de archivos arbitrarios en el plugin Image Optimizer, Resizer and CDN – Sirv para WordPress. Esta vulnerabilidad se debe a la falta de validación del tipo de archivo en la acción AJAX sirv_upload_file_by_chanks en todas las versiones hasta, e incluyendo, la 7.2.6. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor o superior, subir archivos arbitrarios en el servidor del sitio afectado, lo que podría llevar a la ejecución remota de código.
Una forma de mitigar esta vulnerabilidad es restringir o deshabilitar la capacidad de subida de archivos para los roles de usuario menos privilegiados, como los contribuidores. También se recomienda mantener el plugin actualizado a la última versión disponible que solucione esta vulnerabilidad. En caso de haber sido afectado, se debe revisar y limpiar los archivos subidos al servidor en busca de posibles archivos maliciosos.
Es importante tomar medidas proactivas para proteger los sitios de WordPress frente a vulnerabilidades como la carga de archivos arbitrarios. Mantener los plugins y temas actualizados, restringir los permisos de los usuarios y realizar auditorías de seguridad de forma regular son pasos clave para garantizar la seguridad de un sitio web.