Recopilación de vulnerabilidades WordPress.

Vulnerabilidad en MStore API permite la carga arbitraria de archivos en WordPress

La vulnerabilidad CVE-2024-8242 en el plugin MStore API – Create Native Android & iOS Apps On The Cloud para WordPress permite la carga de archivos arbitrarios en el servidor afectado, lo que puede conducir a la ejecución remota de código.

La vulnerabilidad reside en la falta de validación de tipos de archivo en la función update_user_profile() de todas las versiones anteriores a la 4.15.3. Esto significa que atacantes autenticados con nivel de suscriptor o superior pueden cargar archivos arbitrarios (excepto archivos PHP) en el servidor del sitio afectado. Esta vulnerabilidad podría ser aprovechada en conjunto con un punto final de registro para usuarios no autenticados para explotar el problema.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin MStore API a la última versión disponible. Además, se debe limitar el acceso de los roles de usuario a funcionalidades que impliquen la carga de archivos y verificar regularmente la integridad de los archivos en el servidor.

Related Article