El plugin Multiple Page Generator – MPG para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta del archivo en la función mpg_upsert_project_source_block() en todas las versiones hasta, e incluyendo, la 4.0.2. Esto permite a atacantes autenticados, con acceso de nivel editor y superior, eliminar archivos limitados en el servidor.
La vulnerabilidad identificada con el ID CVE-2024-10672 en el plugin Multiple Page Generator – MPG <= 4.0.2 permite a un atacante autenticado con privilegios de editor o superiores realizar una travesía de directorio para eliminar archivos específicos en el servidor. Esto potencialmente podría causar daños en la integridad de los datos o en el funcionamiento del sitio web. Para protegerse contra esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se sugiere restringir los privilegios de los usuarios para limitar el acceso a funciones de eliminación de archivos.
Es fundamental que los administradores de sitios web que utilicen el plugin Multiple Page Generator – MPG estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para mitigar el riesgo. La seguridad de un sitio web es una responsabilidad compartida entre los desarrolladores de plugins y los usuarios finales, por lo que mantenerse informado y actualizar regularmente los componentes es esencial para garantizar la protección de la plataforma.