El plugin de Newsletters para WordPress es vulnerable a la divulgación de ruta completa en todas las versiones hasta, e incluyendo, la 4.9.9. Esta vulnerabilidad se debe a que el plugin no impide el acceso directo al /vendor/mobiledetect/mobiledetectlib/export/exportToJSON.php. Esto permite a atacantes no autenticados recuperar la ruta completa de la aplicación web, lo que puede ser utilizado para facilitar otros ataques. La información mostrada no es útil por sí sola, y requiere que otra vulnerabilidad esté presente para causar daño en un sitio web afectado.
Los usuarios afectados por esta vulnerabilidad pueden mitigar el riesgo limitando el acceso directo a archivos sensibles, como el mencionado exportToJSON.php, mediante la configuración adecuada de permisos en el servidor. Además, se recomienda mantener el plugin Newsletters actualizado a la última versión disponible para evitar posibles ataques.
Es fundamental que los administradores de sitios web con el plugin Newsletters instalado tomen medidas proactivas para proteger sus sitios contra posibles vulnerabilidades, como la divulgación de ruta completa, siguiendo las recomendaciones de seguridad mencionadas.