Se ha identificado una vulnerabilidad en el plugin Advanced File Manager para WordPress, ampliamente utilizado para gestionar archivos desde el panel de administración. Este problema podría permitir a atacantes autenticados cargar archivos maliciosos en los servidores afectados, lo que representa un riesgo de ejecución remota de código si el atacante cuenta con permisos otorgados por un administrador.
- CVE-2024-11391 (CVSS 7.5): Esta vulnerabilidad permite la carga de archivos arbitrarios debido a la falta de validación de tipos de archivo en el archivo class_fma_connector.php. Atacantes con acceso de nivel Subscriber o superior podrían explotar esta falla para subir archivos peligrosos.
Productos y versiones afectadas:
- Versiones anteriores a la 5.2.11 del plugin Advanced File Manager para WP.
Solución:
- Actualizar a la versión 5.2.11 o posterior.
Recomendaciones:
- Actualizar el plugin Advanced File Manager a la última versión disponible para solucionar la vulnerabilidad.
- Configurar roles y permisos de usuarios en WordPress para limitar el acceso innecesario al plugin.
- Implementar un firewall de aplicaciones web (WAF) para proteger el servidor contra posibles intentos de explotación.
Referencias: