La vulnerabilidad CVE-2024-10571 afecta al plugin Chartify – WordPress Chart Plugin en su versión 2.9.5 y anteriores, permitiendo a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor a través del parámetro ‘source’. Esto puede poner en riesgo la seguridad de los sitios web que utilicen este plugin.
La falta de control adecuado de los nombres de archivo en las declaraciones de include/require en programas PHP (conocido como ‘Inclusión Remota de Archivo en PHP’) es la causa de esta vulnerabilidad. Esto permite a los atacantes realizar la inclusión de archivos locales sin autenticación, lo que puede conducir a la ejecución de código PHP arbitrario en el servidor. Esta vulnerabilidad puede ser aprovechada para evadir controles de acceso, obtener datos sensibles o ejecutar código malicioso.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Chartify – WordPress Chart Plugin a la última versión disponible. Además, se deben monitorear de cerca los logs del servidor en busca de actividad sospechosa y restringir el acceso al panel de administración del sitio web solo a usuarios autorizados. Es fundamental mantener todos los plugins y temas de WordPress actualizados para reducir el riesgo de explotación de vulnerabilidades conocidas.