La vulnerabilidad CVE-2024-2294 en el plugin Backuply – Backup, Restore, Migrate and Clone para WordPress permite a atacantes con la capacidad activate_plugins acceder a archivos arbitrarios en el servidor, pudiendo comprometer información sensible.
El plugin Backuply – Backup, Restore, Migrate and Clone para WordPress es vulnerable a Traversing de Directorios en todas las versiones hasta, e incluyendo, la 1.2.7 a través del parámetro backup_name en la función backuply_download_backup. Esto permite a atacantes con una cuenta que solo tenga la capacidad activate_plugins acceder a archivos arbitrarios en el servidor, pudiendo comprometer información sensible. Esta vulnerabilidad solo afecta a sitios alojados en servidores Windows.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Backuply a la última versión disponible y monitorear de cerca cualquier actividad sospechosa en sus sitios. Además, se sugiere limitar el acceso de los usuarios con roles de administrador únicamente a personal de confianza.