La vulnerabilidad en el plugin de WordPress Memberful hasta la versión 1.73.9 permite la exposición de información sensible a través de la función de búsqueda del core de WordPress. Esto posibilita que atacantes no autenticados puedan extraer datos sensibles de publicaciones restringidas a roles de nivel superior como miembros del sitio.
La CVE identificada como CVE-2024-11294 detalla cómo a través de Memberful hasta la versión 1.73.9, es posible que actores no autorizados puedan acceder a información confidencial. La vulnerabilidad radica en la forma en que el plugin gestiona la restricción de contenido, lo que permite a atacantes no autenticados sortear estas restricciones y acceder a datos sensibles. Para solucionar este problema, se recomienda a los usuarios actualizar a la última versión del plugin lo antes posible y revisar la configuración de seguridad de su sitio para evitar futuras exposiciones de información.
Es fundamental que los usuarios de Memberful estén al tanto de esta vulnerabilidad y tomen las medidas necesarias para proteger la información sensible de su sitio. Mantener todos los plugins actualizados y revisar constantemente la seguridad del sitio son prácticas recomendadas para evitar posibles exposiciones de datos en el futuro.