Meta Box 4.16.1

Parece que la nueva versión de Meta Box añade una nueva funcionalidad que permite la subida de ficheros al sistema.

En estos casos, como siempre, entra la duda de si la subida de ficheros se hace de forma segura y en los lugares correspondientes.

Y es que en un primer análisis de esta nueva funcionalidad se ha visto que es posible que la subida de ficheros se pueda hacer en un lugar que no corresponde, e incluso podría llegar a permitirse la subida de ficheros con extensiones ejecutables, como por ejemplo scripts en PHP.

Hay que tener en cuenta que a este plugin le acompaña un sistema que permite generar cualquier tipo de código, lo que implica que cualquiera podría incluir alguna línea en la que se suban ficheros o se filtren de una forma incorrecta.

Un ejemplo de prueba de concepto sería esta.

function your_prefix_get_meta_box( $meta_boxes ) {
  $prefix = 'prefix-';
  $meta_boxes[] = array(
    'id' => 'untitled',
    'title' => esc_html__( 'Untitled Metabox', 'metabox-online-generator' ),
    'post_types' => array('post', 'page' ),
    'context' => 'advanced',
    'priority' => 'default',
    'autosave' => 'false',
    'fields' => array(
      array(
        'id' => $prefix . 'image_1',
        'type' => 'image',
        'name' => esc_html__( 'Image Upload', 'metabox-online-generator' ),
        'upload_dir' => '../',
      ),
    ),
  );
  return $meta_boxes;
}
add_filter( 'rwmb_meta_boxes', 'your_prefix_get_meta_box' );

Deja un comentario