El plugin WP Magazine Modules Lite para WordPress es vulnerable a la Inclusión de Archivos Locales en todas las versiones hasta, e incluyendo, la 1.1.2 a través del parámetro ‘blockLayout’. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos.
Esta vulnerabilidad conocida como CVE-2024-5574 se debe a la falta de control adecuado de nombres de archivo para instrucciones Include/Require en programas PHP (‘Inclusión remota de archivos PHP’). Para mitigar esta vulnerabilidad, se recomienda a los usuarios de WP Magazine Modules Lite actualizar a la última versión disponible de forma inmediata. Además, se deben monitorear constantemente los archivos incluidos en el servidor y restringir el acceso a usuarios con privilegios mínimos para reducir el riesgo de explotación.
Es crucial tomar medidas proactivas para proteger la seguridad de tu sitio WordPress. Mantener tus plugins y temas actualizados y limitar el acceso a usuarios privilegiados son pasos clave para prevenir posibles ataques de inclusión de archivos locales.