El plugin WP Membership para WordPress es vulnerable a la subida de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función user_profile_image_upload() en todas las versiones hasta, e incluyendo, la 1.6.2. Esto permite que atacantes sin autenticación suban archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin WP Membership a la versión más reciente disponible, en la cual se han implementado medidas de seguridad para mitigar este riesgo. Además, se recomienda restringir el acceso a la función de subida de archivos solo a usuarios autenticados y establecer medidas de control de acceso adicionales para evitar posibles ataques.
Es crucial para la seguridad de un sitio web con WordPress estar al tanto de las vulnerabilidades en los plugins que se utilizan y tomar las medidas necesarias para protegerse contra posibles ataques. En este caso, la actualización del plugin y la configuración adecuada de permisos de acceso a la función de subida de archivos son pasos importantes para mitigar el riesgo de la subida de archivos arbitrarios sin autenticación.