La vulnerabilidad CVE-2023-0714 en Metform Elementor Contact Form Builder permite la subida de archivos arbitrarios sin restricciones, lo que representa un grave riesgo para la seguridad de los sitios web de WordPress.
El plugin Metform Elementor Contact Form Builder para WordPress es vulnerable a la subida de archivos arbitrarios debido a una validación insuficiente de los tipos de archivo en las versiones hasta, e incluyendo, la 3.2.4. Esto permite a visitantes no autenticados realizar un ataque de ‘doble extensión’ y subir archivos conteniendo una extensión maliciosa pero que terminan con una extensión benigna, lo que puede hacer posible la ejecución remota de código en algunas configuraciones.
Es crucial que los usuarios actualicen a la última versión del plugin Metform Elementor Contact Form Builder tan pronto como sea posible para mitigar este grave riesgo de seguridad. Además, se recomienda restringir las subidas de archivos solo a tipos de archivos seguros y realizar una auditoría de seguridad regular en el sitio web para detectar posibles vulnerabilidades.