La vulnerabilidad en el plugin WordPress Comments Import & Export permite a atacantes autenticados con acceso de Autor o superior leer el contenido de archivos arbitrarios en el servidor. Esta vulnerabilidad, identificada como CVE-2024-7514, es causada por una validación insuficiente de la ruta del archivo durante el proceso de importación de comentarios.
La falta de validación adecuada de rutas de archivo en el plugin WordPress Comments Import & Export hasta la versión 2.3.7 permite a un atacante leer el contenido de archivos sensibles en el servidor. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la versión 2.3.9, la cual soluciona completamente el problema de lectura de archivos arbitrarios.
Es importante que los usuarios de WordPress que utilicen el plugin Comments Import & Export verifiquen que están utilizando la versión más reciente, en este caso la 2.3.9, para evitar posibles accesos no autorizados a archivos sensibles en su servidor.