En este informe se detalla la vulnerabilidad de Traversal de Directorios en WordPress Core hasta la versión 6.5.5 a través del bloque de Template Part. Esto permite a atacantes autenticados, con nivel de acceso de Contributor o superior, incluir archivos HTML arbitrarios en sitios que se ejecutan en Windows.
La vulnerabilidad CVE-2024-32111 en WordPress Core afecta a versiones anteriores a 6.5.5 y se debe a una Limitación Incorrecta de una Ruta de Acceso a un Directorio Restringido (‘Traversal de Rutas’). Los atacantes autenticados pueden aprovechar esta vulnerabilidad para incluir archivos HTML no autorizados en sitios de WordPress con ciertos niveles de acceso.
Para subsanar este problema, se recomienda a los usuarios actualizar su instalación de WordPress a la versión 6.5.5 o superior. Además, se deben restringir los permisos de los usuarios para limitar el acceso a las funciones sensibles del sitio y evitar posibles ataques de Traversal de Directorios.