El plugin WP Delicious – Recipe Plugin for Food Bloggers (anteriormente Delicious Recipes) para WordPress es vulnerable a movimientos de archivos arbitrarios y lectura debido a una validación insuficiente de la ruta de archivos en la función save_edit_profile_details() en todas las versiones hasta, e incluyendo, la 1.6.9. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, mover archivos arbitrarios en el servidor, lo que puede llevar fácilmente a la ejecución remota de código cuando se mueve el archivo adecuado (como wp-config.php). Esto también puede llevar a la lectura de archivos arbitrarios que pueden contener información sensible como wp-config.php.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin tan pronto como esté disponible. Además, se recomienda a los usuarios restringir el acceso a sus cuentas de WordPress a los roles que realmente necesitan acceso al plugin. En caso de haber sido comprometido, se debe realizar un análisis exhaustivo del sistema en busca de posibles archivos movidos o leídos de forma no autorizada.
Es crucial que los propietarios de sitios web que utilicen el plugin WP Delicious – Recipe Plugin for Food Bloggers corrijan esta vulnerabilidad lo antes posible para proteger sus sitios web de posibles ataques. La seguridad de los plugins y temas de WordPress es fundamental para mantener la integridad de un sitio web.