La vulnerabilidad CVE-2024-12881 encontrada en el plugin de WordPress PlugVersions – Easily rollback to previous versions of your plugins hasta la versión 0.0.7 permite a atacantes autenticados con nivel de acceso de Suscriptor y superior la creación de ficheros arbitrarios en el servidor.
La vulnerabilidad se debe a una falta de verificación de capacidades en la función eos_plugin_reviews_restore_version(), lo que permite a usuarios autenticados con nivel de acceso Subscriber y superiores la creación de ficheros arbitrarios en el servidor. Esta vulnerabilidad podría ser aprovechada por atacantes para realizar acciones maliciosas en el servidor, comprometiendo la seguridad del sitio web.
Para mitigar este riesgo, se recomienda a los usuarios desactivar o actualizar el plugin PlugVersions a una versión mas reciente que contenga una solución para esta vulnerabilidad. Además, se recomienda a los administradores de WordPress estar pendientes de las actualizaciones de seguridad y parches proporcionados por los desarrolladores de plugins para evitar cualquier explotación de vulnerabilidades.