La vulnerabilidad de Inclusión de Archivos Remotos en el plugin Where I Was, Where I Will Be para WordPress en la versión <= 1.1.1 permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios alojados en servidores externos, lo que puede conducir a la ejecución de código malicioso.
El plugin Where I Was, Where I Will Be para WordPress es vulnerable a la Inclusión de Archivos Remotos en la versión <= 1.1.1 a través del parámetro WIW_HEADER del archivo /system/include/include_user.php. Este fallo de seguridad posibilita a atacantes no autenticados incluir y ejecutar archivos arbitrarios alojados en servidores externos, lo que permite la ejecución de cualquier código PHP presente en dichos archivos. Esto puede ser utilizado para evadir controles de acceso, obtener datos sensibles o lograr la ejecución de código. Para explotar esta vulnerabilidad se requiere que allow_url_include esté configurado en true, lo cual no es una configuración comúnmente habilitada.
Para mitigar esta vulnerabilidad se recomienda actualizar el plugin Where I Was, Where I Will Be a la última versión disponible y revisar la configuración de PHP para asegurarse de que allow_url_include se encuentre deshabilitado. Además, se sugiere monitorear de cerca la actividad del sitio web para detectar posibles intentos de explotación.