La vulnerabilidad de inclusión de archivos locales en el plugin WPC Smart Messages for WooCommerce para WordPress permite a atacantes autenticados con acceso de nivel Subscriber y superior incluir y ejecutar archivos arbitrarios en el servidor, lo que puede conducir a la ejecución de código malicioso.
El plugin WPC Smart Messages for WooCommerce tiene una vulnerabilidad de Inclusión de Archivos Locales en todas las versiones hasta la 4.2.1 a través de la función get_condition_value. Esto permite a atacantes autenticados con acceso de nivel Subscriber y superior incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. Esto puede ser utilizado para evadir controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde imágenes y otros tipos de archivos ‘seguros’ pueden ser cargados e incluidos.
Es recomendable actualizar el plugin WPC Smart Messages for WooCommerce a la última versión disponible para corregir esta vulnerabilidad. Además, se recomienda monitorear de cerca cualquier actividad inusual en el servidor y restringir el acceso de los usuarios a funciones y archivos que no sean estrictamente necesarios para sus tareas diarias.