La vulnerabilidad en el plugin Funnelforms Free para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función ‘af2_add_font’ en todas las versiones hasta, e incluyendo, la 3.7.3.2. Esto permite a atacantes autenticados, con permisos de administrador y superiores, subir archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
La falta de validación de tipos de archivo en la función ‘af2_add_font’ del plugin Funnelforms Free <= 3.7.3.2 es la causa de esta vulnerabilidad. Para subsanar este problema, se recomienda a los usuarios actualizar a la versión más reciente del plugin cuanto antes. Además, se sugiere limitar el acceso de usuario a roles con privilegios mínimos para reducir el riesgo de que un atacante pueda explotar esta vulnerabilidad.
Es crucial que los usuarios de Funnelforms Free estén al tanto de esta vulnerabilidad y tomen medidas para proteger sus sitios web. Mantener el plugin actualizado y limitar los privilegios de usuario son pasos importantes para mitigar el riesgo de que un atacante pueda aprovechar esta vulnerabilidad para comprometer el sitio.