El plugin JobSearch WP Job Board para WordPress es vulnerable a subidas de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función jobsearch_wp_handle_upload() en todas las versiones hasta, e incluyendo, la 2.6.7. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, subir archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
La vulnerabilidad CVE-2024-8614 en el plugin JobSearch WP Job Board hasta la versión 2.6.7 permite a atacantes autenticados, con al menos nivel de suscriptor, cargar y ejecutar archivos arbitrarios en un sitio WordPress afectado. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin, en la cual se ha introducido una validación mejorada de tipos de archivo para prevenir subidas maliciosas. Además, se sugiere limitar los privilegios de los usuarios, especialmente aquellos con roles de ‘subscriber’ o superiores, para reducir el riesgo de que aprovechen esta vulnerabilidad.
Es crucial mantener actualizados tanto WordPress como todos los plugins instalados para protegerse contra vulnerabilidades conocidas. Al tomar medidas proactivas como limitar los privilegios de los usuarios y mantener una política de actualización rigurosa, los propietarios de sitios web pueden reducir significativamente su exposición a ataques de subida de archivos arbitrarios en WP JobSearch.