Una vulnerabilidad crítica de carga arbitraria de archivos ha sido descubierta en el plugin Security & Malware scan by CleanTalk para WordPress. Esta falla permite a atacantes no autenticados cargar archivos maliciosos y ejecutar código en servidores vulnerables.
- CVE-2024-13365 (CVSS 9.8): Esta vulnerabilidad permite la carga arbitraria de archivos debido a que no se valida correctamente los datos proporcionados por el usuario al escanear archivos ZIP en busca de malware. Esto permite a atacantes no autenticados cargar archivos arbitrarios, incluyendo scripts maliciosos que podrían otorgarles control completo sobre el servidor.
Productos y versiones afectadas:
- Versiones anteriores a la 2.150 del plugin Security & Malware scan by CleanTalk.
Solución:
- Actualizar a la versión 2.150 o posterior.
Recomendaciones:
- Actualizar inmediatamente el plugin Security & Malware scan by CleanTalk a la última versión disponible.
- Verificar la integridad de los archivos en el servidor para detectar posibles archivos maliciosos cargados previamente.
- Implementar medidas de seguridad adicionales, como firewalls de aplicaciones web (WAF), para prevenir futuros intentos de explotación de vulnerabilidades.
Referencias: