La vulnerabilidad CVE-2024-5503 en el plugin WP Blog Post Layouts para WordPress permite a atacantes autenticados, con acceso de Contribuidor o superior, incluir y ejecutar archivos PHP arbitrarios en el servidor, lo que puede llevar a la ejecución de código malicioso.
La vulnerabilidad se debe a un control inadecuado de nombres de archivos para las declaraciones Include/Require en programas PHP (Inclusión de Archivos Remotos en PHP). Esto permite a los atacantes autenticados explotar la vulnerabilidad y ejecutar código PHP arbitrario en el servidor, lo que potencialmente le permite eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se pueden subir e incluir imágenes y otros tipos de archivos ‘seguros’. Los usuarios con privilegios de Contributor o superior pueden ser afectados por esta vulnerabilidad.
Para mitigar el riesgo de explotación de esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin WP Blog Post Layouts tan pronto como sea posible. Además, se recomienda monitorear de cerca cualquier actividad sospechosa en el sitio web y restringir los privilegios de los usuarios a solo lo necesario para minimizar el impacto potencial de cualquier ataque.