La vulnerabilidad CVE-2024-3962 en el plugin Product Addons & Fields for WooCommerce para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivos en la función ppom_upload_file en todas las versiones hasta, e incluyendo, 32.0.18. Esto permite que atacantes no autenticados suban archivos arbitrarios al servidor del sitio afectado, lo que puede facilitar la ejecución de código remoto.
La explotación exitosa de esta vulnerabilidad requiere que el plugin PPOM Pro esté instalado junto con un producto WooCommerce que contenga un campo de carga de archivos para recuperar el nonce correcto. Los usuarios pueden protegerse de esta vulnerabilidad aplicando parches de seguridad proporcionados por el desarrollador del plugin y manteniendo siempre sus plugins y temas actualizados. Además, se recomienda restringir los permisos de escritura en los directorios de carga de archivos en el servidor para evitar la subida de archivos no deseados.
Es crucial que los propietarios de sitios web que utilicen el plugin Product Addons & Fields for WooCommerce <= 32.0.18 tomen medidas inmediatas para mitigar el riesgo de esta vulnerabilidad. Al seguir las recomendaciones de seguridad mencionadas anteriormente, los usuarios pueden reducir la posibilidad de ser víctimas de una subida de archivos arbitrarios no autenticados.