El plugin Brizy – Page Builder para WordPress ha sido identificado con una vulnerabilidad crítica que permite la carga arbitraria de archivos debido a la falta de validación de tipo de archivo en una de sus funciones. Esta falla podría ser explotada por atacantes autenticados con permisos de colaborador o superiores, poniendo en riesgo la seguridad del sitio web.
- CVE-2024-10960 (CVSS: 9.9): Esta vulnerabilidad permite la carga arbitraria de archivos a través de la función ‘storeUploads’. Un atacante autenticado con permisos de colaborador o superiores podría subir archivos maliciosos al servidor del sitio afectado, lo que podría derivar en la ejecución remota de código.
Productos y versiones afectadas:
- Plugin Brizy – Page Builder: versiones hasta la 2.6.4 (incluida).
Solución:
- Plugin Brizy – Page Builder: actualizar a la 2.6.5 o posterior.
Recomendaciones:
- Actualizar el plugin Brizy – Page Builder a la versión 2.6.5 o una versión más reciente.
- Verificar la configuración de permisos de usuario para evitar que usuarios con privilegios bajos puedan ejecutar acciones no autorizadas.
- Implementar medidas adicionales de seguridad en el servidor, como la restricción de tipos de archivos permitidos para carga.
Referencias: