Vulnerabilidad en plugin de Store Locator de WordPress

El plugin Store Locator para WordPress con Google Maps, conocido como LotsOfLocales, presenta una vulnerabilidad crítica que podría ser explotada por atacantes no autenticados. Esta vulnerabilidad destaca por su gravedad y el impacto que podría tener en los sistemas afectados.

  • CVE-2024-12571 (CVSS: 9.8): La vulnerabilidad se clasifica como «Inclusión Remota de Archivos en PHP». Ocurre debido a un control inadecuado del nombre de archivo en declaraciones de inclusión/requerimiento dentro del programa PHP. Esto permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, posibilitando la ejecución de cualquier código PHP contenido en esos archivos. Entre las posibles consecuencias se encuentran eludir controles de acceso, obtener datos sensibles o ejecutar código malicioso, especialmente en casos donde se pueden cargar archivos considerados “seguros”, como imágenes.

Productos y versiones afectadas:

  • Plugin Store Locator con Google Maps, versión 3.98.9.

Solución:

  • Actualizar a la version 3.98.10 del Plugin Store Locator.

Recomendaciones:

  • Actualizar inmediatamente el plugin LotsOfLocales a una versión segura en cuanto esté disponible.
  • Monitorizar los archivos del servidor en busca de modificaciones sospechosas que puedan indicar actividad maliciosa.
  • Implementar controles adicionales en el servidor para prevenir la ejecución de archivos no confiables.

Referencias: