La vulnerabilidad CVE-2024-10216 encontrada en el plugin WP User Manager – User Profile Builder & Membership para WordPress permite la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en las funciones ‘add_sidebar’ y ‘remove_sidebar’ en todas las versiones hasta, e incluyendo, la 2.9.11. Esto posibilita a atacantes autenticados, con acceso de nivel Suscriptor y superior, agregar o quitar una barra lateral personalizada de Carbon Fields si el plugin Carbon Fields (carbon-fields) está instalado.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión disponible del plugin WP User Manager lo antes posible para mitigar el riesgo de explotación. Además, se recomienda restringir el acceso a los roles de Suscriptor y superior en el backend de WordPress para minimizar el impacto de posibles ataques.
Es crucial que los administradores de sitios web que utilizan el plugin WP User Manager estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger sus sitios contra posibles ataques. Mantener los plugins actualizados y limitar los privilegios de los usuarios son prácticas recomendadas para mejorar la seguridad de un sitio WordPress.