La vulnerabilidad CVE-2024-6054 presenta un riesgo de subida de archivos arbitrarios en el plugin Auto Featured Image para WordPress, la cual permite a atacantes autenticados, con permisos de nivel contribuyente o superior, subir archivos arbitrarios al servidor del sitio afectado, lo que puede llevar a una posible ejecución remota de código.
El plugin Auto Featured Image es vulnerable a subidas de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función ‘create_post_attachment_from_url’ en todas las versiones hasta, e incluyendo, la 1.2. Esto significa que los atacantes autenticados pueden cargar archivos maliciosos en el servidor del sitio afectado, lo que representa un grave riesgo de seguridad. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y restringir los permisos de contribuyente y superiores para reducir el riesgo de acceso no autorizado.
Es crucial para los usuarios de WordPress mantener sus plugins actualizados y seguir buenas prácticas de seguridad, como la limitación de permisos de usuario, para proteger sus sitios de posibles vulnerabilidades como la descrita en CVE-2024-6054 en Auto Featured Image.