La vulnerabilidad de Traversal de Directorios en el plugin Product Input Fields for WooCommerce para WordPress permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, leer el contenido de archivos arbitrarios en el servidor, lo que puede contener información sensible.
La vulnerabilidad de Traversal de Directorios en el plugin Product Input Fields for WooCommerce para WordPress radica en la función handle_downloads(), que carece de validación/sanitización suficiente de la ruta del archivo. Esto posibilita que atacantes autenticados puedan leer el contenido de archivos arbitrarios en el servidor. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la versión más reciente del plugin, la cual debería incluir parches de seguridad para corregir esta falla. Asimismo, se sugiere limitar el acceso de los usuarios a roles por debajo del nivel de Contributor para reducir el riesgo de exposición a esta vulnerabilidad.
Es crucial que los administradores de sitios WordPress utilicen prácticas de seguridad sólidas, como mantener actualizados los plugins y limitar los privilegios de los usuarios, para proteger sus sitios de posibles explotaciones de vulnerabilidades como la descrita en este reporte.