La vulnerabilidad en el plugin WP Hotel Booking para WordPress permite la subida de archivos arbitrarios debido a la falta de validación de tipos de archivo en la función update_review() en todas las versiones hasta, e incluyendo, la 2.1.2. Esto posibilita que atacantes autenticados, con acceso de nivel suscriptor y superior, suban archivos arbitrarios en el servidor del sitio afectado, lo cual podría permitir la ejecución remota de código.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin WP Hotel Booking a la última versión disponible lo antes posible. Además, se recomienda restringir los permisos de los usuarios en el sitio web para reducir el riesgo de acceso no autorizado. Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web y sistemas de detección de intrusos, también puede ayudar a proteger el sitio contra posibles ataques.
Es crucial mantener todos los plugins y temas de WordPress actualizados para evitar vulnerabilidades conocidas. Al tomar medidas proactivas para proteger su sitio, los administradores pueden reducir significativamente el riesgo de sufrir un ataque exitoso.