La vulnerabilidad de Autorización ausente en el plugin AI ChatBot para WordPress, identificada con el ID CVE-2024-0453, permite a atacantes autenticados eliminar archivos de una cuenta de OpenAI vinculada, incluso con acceso de nivel suscriptor y superior.
La función openai_file_delete_callback carece de una verificación de capacidades, lo que posibilita la modificación no autorizada de datos en todas las versiones del plugin AI ChatBot hasta la 5.3.4. Para mitigar esta vulnerabilidad, los usuarios deben actualizar el plugin a la última versión disponible lo antes posible. Además, se recomienda restringir el acceso de los usuarios a funciones que no necesitan para reducir el riesgo de explotación.
Es indispensable mantener todos los plugins de WordPress actualizados para prevenir posibles vulnerabilidades de seguridad, como la encontrada en AI ChatBot <= 5.3.4. La conciencia sobre las buenas prácticas de seguridad y la implementación de controles adecuados son clave para proteger los sitios web de posibles ataques.