El plugin WPGYM – WordPress Gym Management System es vulnerable a la carga de archivos arbitrarios debido a la falta de validación de tipo de archivo en la función MJ_gmgt_user_avatar_image_upload() en todas las versiones hasta, e incluyendo, la 67.1.0. Esto permite que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Los usuarios afectados por esta vulnerabilidad deben actualizar de inmediato a la última versión del plugin WPGYM para evitar posibles ataques de carga de archivos. Además, se recomienda implementar medidas adicionales de seguridad, como limitar el acceso a la función de carga de archivos solo a usuarios autenticados y restringir los tipos de archivos permitidos.
Es crucial para los administradores de sitios web estar al tanto de las actualizaciones de seguridad y parches disponibles para los plugins que utilizan en sus instalaciones de WordPress, con el fin de protegerse contra posibles vulnerabilidades como la descrita en este informe.