La vulnerabilidad CVE-2024-8252 afecta al plugin Clean Login para WordPress en versiones hasta la 1.14.5, permitiendo a atacantes autenticados con nivel de acceso Contributor y superior incluir y ejecutar archivos arbitrarios en el servidor.
La vulnerabilidad radica en el atributo ‘template’ del shortcode clean-login-register, lo que posibilita la inclusión de archivos locales en el servidor. Esto podría ser utilizado por un atacante para eludir controles de acceso, obtener información sensible o lograr la ejecución de código PHP en los archivos incluidos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Clean Login a la última versión disponible immediately. Además, se aconseja a los administradores de sitios web seguir las mejores prácticas de seguridad, como limitar el acceso a los roles de usuario y monitorear de cerca la actividad del sitio para detectar posibles actividades maliciosas.