Se han identificado múltiples vulnerabilidades en el plugin File Manager Pro – Filester para WordPress, ampliamente utilizado para la gestión de archivos en sitios web. Estas fallas podrían permitir a atacantes autenticados subir archivos maliciosos o ejecutar código arbitrario en los servidores afectados.
- CVE-2024-8066 (CVSS 7.5): El plugin contiene una vulnerabilidad de subida arbitraria de archivos debido a la falta de validación en la función fsConnector. Esto permite a atacantes autenticados con permisos de nivel Suscriptor o superior, asignados por un administrador, subir archivos maliciosos como un .htaccess para habilitar posteriores cargas de archivos arbitrarios.
- CVE-2024-9669 (CVSS 7.2): Esta vulnerabilidad permite la inclusión de archivos locales de JavaScript mediante el parámetro fm_locale. Un atacante autenticado con permisos de nivel Administrador puede aprovechar esta falla para incluir y ejecutar archivos arbitrarios en el servidor. Esto podría utilizarse para eludir controles de acceso, acceder a información sensible o ejecutar código malicioso, especialmente si el servidor permite la carga de archivos considerados «seguros», como imágenes.
| CVE | Producto Afectado | Versión Afectada | Solución |
| CVE-2024-8066 | File Manager Pro – Filester plugin. | Versiones anteriores a la 1.8.5. | Versión 1.8.5 o posterior. |
| CVE-2024-9669 | Versiones anteriores a la 1.8.6. | Versión 1.8.6 o posterior. |
Recomendaciones:
- Actualizar inmediatamente el plugin Contest Gallery a la última versión disponible.
- Verificar la seguridad de las contraseñas de las cuentas administrativas y restablecerlas si es necesario.
- Implementar medidas adicionales de seguridad, como autenticación de dos factores (2FA) para proteger las cuentas críticas.
Referencias: