El plugin Store Locator para WordPress con Google Maps, conocido como LotsOfLocales, presenta una vulnerabilidad crítica que podría ser explotada por atacantes no autenticados. Esta vulnerabilidad destaca por su gravedad y el impacto que podría tener en los sistemas afectados.
- CVE-2024-12571 (CVSS: 9.8): La vulnerabilidad se clasifica como «Inclusión Remota de Archivos en PHP». Ocurre debido a un control inadecuado del nombre de archivo en declaraciones de inclusión/requerimiento dentro del programa PHP. Esto permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, posibilitando la ejecución de cualquier código PHP contenido en esos archivos. Entre las posibles consecuencias se encuentran eludir controles de acceso, obtener datos sensibles o ejecutar código malicioso, especialmente en casos donde se pueden cargar archivos considerados “seguros”, como imágenes.
Productos y versiones afectadas:
- Plugin Store Locator con Google Maps, versión 3.98.9.
Solución:
- Actualizar a la version 3.98.10 del Plugin Store Locator.
Recomendaciones:
- Actualizar inmediatamente el plugin LotsOfLocales a una versión segura en cuanto esté disponible.
- Monitorizar los archivos del servidor en busca de modificaciones sospechosas que puedan indicar actividad maliciosa.
- Implementar controles adicionales en el servidor para prevenir la ejecución de archivos no confiables.
Referencias: