El plugin All-in-One WP Migration and Backup para WordPress es vulnerable a la inyección de código PHP arbitrario debido a la falta de validación del tipo de archivo durante la exportación en todas las versiones hasta la 7.86. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, crear un archivo de exportación con la extensión .php en el servidor del sitio afectado, agregando un código PHP arbitrario, lo que puede permitir la ejecución remota de código.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la versión 7.87 del plugin All-in-One WP Migration and Backup para mitigar el riesgo de inyección de código PHP arbitrario. Además, se recomienda a los administradores del sitio supervisar de cerca cualquier actividad sospechosa en la plataforma y restringir el acceso a los usuarios que no sean necesarios para reducir la superficie de ataque.
La adecuada gestión de las actualizaciones de seguridad y la implementación de medidas de control de acceso son fundamentales para proteger un sitio web de ataques de inyección de código PHP. La rapidez en la aplicación de parches de seguridad es crucial para evitar incidentes de seguridad.