La vulnerabilidad de ejecución de código remoto en el plugin WordPress File Upload para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. A través del parámetro ‘wfu_ABSPATH’ en la cookie, atacantes no autenticados pueden ejecutar código en el servidor.
La versión 4.24.12 y anteriores del plugin WordPress File Upload no controlan adecuadamente la generación de código (‘Code Injection’), lo que permite a los atacantes ejecutar código de forma remota. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se pueden implementar soluciones de seguridad adicionales como el uso de firewalls de aplicaciones web (WAF) para bloquear intentos de explotación de esta vulnerabilidad.
La importancia de mantener actualizados los plugins de WordPress y de implementar medidas de seguridad adicionales como firewalls de aplicaciones web (WAF) queda demostrada ante vulnerabilidades como la encontrada en WordPress File Upload. Actuar con prontitud ante estos riesgos es fundamental para garantizar la integridad y seguridad de los sitios web.