La vulnerabilidad CVE-2024-2667 afecta al plugin InstaWP Connect – 1-click WP Staging & Migration para WordPress, permitiendo la subida de archivos arbitrarios sin autenticación. Esta falla se debe a una validación insuficiente de archivos en el punto final de la API REST /wp-json/instawp-connect/v1/config en todas las versiones hasta la 0.1.0.22.
Esta vulnerabilidad de subida de archivos arbitrarios puede ser aprovechada por atacantes no autenticados para cargar archivos maliciosos en el sitio web comprometido. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin InstaWP Connect a la versión más reciente disponible, la cual ha sido parcheada para corregir esta vulnerabilidad. Adicionalmente, se sugiere restringir el acceso a la API REST de WordPress para reducir la superficie de ataque.
Es fundamental que los usuarios de InstaWP Connect – 1-click WP Staging & Migration actualicen el plugin a la última versión disponible para proteger sus sitios web de posibles ataques de subida de archivos arbitrarios. La seguridad en WordPress es esencial para prevenir vulnerabilidades y mantener la integridad de los sitios en línea.