Classic Addons – WPBakery Page Builder, un complemento popular para WordPress, contiene una vulnerabilidad crítica que permite a atacantes autenticados con permisos de colaborador o superiores incluir y ejecutar archivos PHP arbitrarios en el servidor afectado.
- CVE-2024-11952 (CVSS 7.5): Esta vulnerabilidad se encuentra en el parámetro style del complemento. Permite a los atacantes ejecutar código PHP en entornos Windows, lo que posibilita eludir controles de acceso, acceder a datos sensibles o lograr ejecución remota de código.
Producto y versiones afectadas:
- Versiones anteriores a la 3.1 del plugin Classic Addons – WPBakery Page Builder para WP.
Solución:
- Actualizar a la versión 3.1 o posterior.
Recomendaciones:
- Actualizar el complemento a la última versión disponible para garantizar la seguridad.
- Limitar los permisos de usuario y aplicar políticas estrictas de gestión de accesos.
- Monitorear el sistema para identificar cualquier actividad sospechosa relacionada con la inclusión de archivos.
Referencias: