El plugin SMS for Lead Capture Forms para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función delete_message() en todas las versiones hasta, e incluyendo, la 1.1.0. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen mensajes arbitrarios.
La vulnerabilidad identificada como CVE-2024-11353 en el plugin SMS for Lead Capture Forms para WordPress permite a usuarios autenticados con roles de Suscriptor y superiores la capacidad de eliminar mensajes de forma arbitraria sin la debida autorización. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso superior a 1.1.0, donde se ha corregido esta vulnerabilidad. Asimismo, se aconseja a los administradores del sitio llevar a cabo un monitoreo constante de las actividades del plugin y restringir los privilegios de los usuarios para reducir la superficie de ataque.
Mantener actualizados los plugins es fundamental para garantizar la seguridad de un sitio web en WordPress. En este caso, la falta de autorización en el plugin SMS for Lead Capture Forms puede ser explotada por atacantes autenticados con roles Subscriber y superiores. La actualización a la última versión corregida y la implementación de buenas prácticas de seguridad son medidas clave para protegerse contra este tipo de vulnerabilidades.