La vulnerabilidad CVE-2024-3934 en el plugin Mercado Pago payments for WooCommerce para WordPress permite a atacantes autenticados con acceso de nivel suscriptor y superior descargar y leer el contenido de archivos arbitrarios en el servidor, lo que puede incluir información sensible.
La vulnerabilidad de Traversal de Path en las versiones 7.3.0 a 7.5.1 del plugin Mercado Pago payments for WooCommerce en WordPress radica en la función mercadopagoDownloadLog. Esto permite que los atacantes autenticados puedan descargar y leer archivos arbitrarios en el servidor. La descarga de archivos arbitrarios fue parcheada en la versión 7.5.1, mientras que la autorización faltante fue corregida en la versión 7.6.2.
Es crucial que los usuarios afectados actualicen a la última versión disponible del plugin Mercado Pago payments for WooCommerce (7.6.2) para mitigar el riesgo de esta vulnerabilidad. Además, se recomienda mantener siempre actualizados todos los plugins y temas de WordPress para reducir la exposición a posibles amenazas de seguridad.