File Manager Advanced Shortcode <= Múltiples Versiones - Inclusión Local de Archivos JavaScript a Través de Shortcode (Administrador+ Autenticado)

Un atacante que explote esta vulnerabilidad puede incluir y ejecutar código JavaScript malicioso en el servidor WordPress. Esto podría permitirle eludir controles de acceso, robar información sensible almacenada en el sitio web, o incluso lograr la ejecución de código arbitrario en el servidor, dependiendo de la capacidad de subir archivos aparentemente seguros como imágenes. El impacto potencial es significativo, pudiendo comprometer la integridad y confidencialidad de los datos del sitio web y de sus usuarios. La ejecución de JavaScript arbitrario abre la puerta a una amplia gama de ataques, incluyendo el robo de credenciales y la manipulación de la información mostrada a los usuarios.

WordPress sites utilizing the File Manager Advanced Shortcode plugin, particularly those with administrator accounts that have access to the file management functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / plugin:

wp plugin list | grep 'File Manager Advanced Shortcode'

• wordpress / plugin: Check the plugin version. If it's <= 2.5.6, the system is vulnerable.

wp plugin list --status=active | grep 'File Manager Advanced Shortcode'

• wordpress / plugin: Examine WordPress logs for suspicious file inclusion attempts involving the 'filemanageradvanced' shortcode.

grep 'file_manager_advanced' /var/log/apache2/error.log

• wordpress / plugin: Review file upload directories for unexpected JavaScript files.

ls -l /path/to/wordpress/wp-content/uploads/

1. 2025-05-15Disclosure

   disclosure

1. Reservado2025-03-01
2. Publicada2025-05-15
3. Modificada2025-07-01
4. EPSS actualizado2026-04-02

La mitigación principal para CVE-2024-13914 es actualizar el plugin File Manager Advanced Shortcode a la versión 2.6.0 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que contengan el parámetro 'filemanageradvanced' con entradas sospechosas. Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, confirme la mitigación revisando los registros del servidor en busca de intentos de inclusión de archivos no autorizados.