La vulnerabilidad de inclusión de archivos locales en el plugin WP Umbrella: Update Backup Restore & Monitoring para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan.
La versión 2.17.0 y anteriores de este plugin son vulnerables a la inclusión de archivos locales a través del parámetro ‘filename’ de la acción ‘umbrella-restore’. Esto permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, lo que les da la capacidad de ejecutar cualquier código PHP presente en esos archivos. Esto puede utilizarse para evadir controles de acceso, obtener información sensible o lograr ejecución de código en situaciones donde se pueden subir e incluir imágenes y otros tipos de archivos ‘seguros’.
Para mitigar este riesgo, los usuarios deben actualizar urgentemente WP Umbrella: Update Backup Restore & Monitoring a la última versión disponible y monitorear activamente cualquier actividad inusual en sus sitios web.