La vulnerabilidad CVE-2024-5345 en el plugin Responsive Owl Carousel for Elementor para WordPress permite la inclusión de archivos locales en todas las versiones hasta, e incluyendo, la 1.2.0 a través del parámetro de diseño. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se pueden cargar e incluir imágenes y otros tipos de archivos ‘seguros’. La inclusión está limitada a archivos PHP.
Para subsanar este problema, los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Responsive Owl Carousel for Elementor a una versión posterior a la 1.2.0 tan pronto como sea posible. Además, se recomienda revisar la configuración de permisos de archivos y carpetas en el servidor para evitar que usuarios no autorizados puedan incluir archivos locales de forma maliciosa. También se aconseja mantener un monitoreo constante de la actividad del sitio web para detectar posibles intentos de explotación de esta vulnerabilidad.
Es fundamental tomar medidas inmediatas para mitigar el riesgo que representa la inclusión de archivos locales en el plugin Responsive Owl Carousel for Elementor <= 1.2.0. Al actualizar el plugin y fortalecer la seguridad del servidor, se puede reducir la exposición a posibles ataques y proteger la integridad de los sitios web de WordPress.