El plugin WooCommerce Google Feed Manager para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘wppfm_removeFeedFile’ en todas las versiones hasta, e incluyendo, la 2.8.0. Esto permite a atacantes autenticados con acceso de nivel Contributor y superior, eliminar archivos arbitrarios en el servidor, lo que puede llevar fácilmente a la ejecución remota de código cuando se elimina el archivo adecuado (como wp-config.php).
Los usuarios afectados deben actualizar el plugin a la última versión disponible lo antes posible para corregir esta vulnerabilidad. Además, se recomienda restringir el acceso de los usuarios registrados a funciones que no necesitan, como la capacidad de eliminar archivos de forma indiscriminada. También se sugiere monitorear de cerca cualquier actividad sospechosa en el sitio web, especialmente en cuanto a la manipulación de archivos.
Es crucial mantener todos los plugins y temas de WordPress actualizados, así como seguir buenas prácticas de seguridad, como la introducción de políticas de acceso y supervisión continua de la actividad del sitio. Con acciones proactivas, podemos reducir el riesgo de incidentes de seguridad como el descrito en esta vulnerabilidad.