El plugin de WordPress WooEvents – Calendario y Reserva de Eventos es vulnerable a la escritura de archivos arbitrarios debido a una validación insuficiente de la ruta de archivos en el archivo inc/barcode.php en todas las versiones hasta, e incluyendo, la 4.1.2. Esto permite a atacantes no autenticados sobrescribir archivos arbitrarios en el servidor, lo que puede llevar fácilmente a la ejecución remota de código cuando se elimina el archivo adecuado (como wp-config.php).
La vulnerabilidad identificada como CVE-2024-8671 en el plugin WooEvents – Calendario y Reserva de Eventos para WordPress permite a atacantes remotos sobrescribir archivos arbitrarios en el servidor. Esta falla se debe a una validación inadecuada de la ruta de archivos en el archivo inc/barcode.php. Para mitigar esta vulnerabilidad, los usuarios deben asegurarse de actualizar el plugin a la versión más reciente disponible y restringir el acceso al panel de administración solo a usuarios autorizados. Además, se recomienda monitorear de cerca cualquier actividad sospechosa en el sitio web.
Es crucial que los usuarios de WooEvents – Calendario y Reserva de Eventos actualicen sus instalaciones a la última versión disponible y tomen medidas para restringir el acceso no autorizado al panel de administración. Al seguir buenas prácticas de seguridad, como la actualización regular de plugins y el monitoreo constante de la actividad del sitio, se puede reducir significativamente el riesgo de exposición a amenazas cibernéticas.