La vulnerabilidad CVE-2024-12335 permite a usuarios autenticados con privilegios de contribuidor o superiores acceder a información sensible de posts protegidos en el plugin Avada (Fusion) Builder para WordPress. Esto representa un riesgo de divulgación de información confidencial.
El plugin Avada (Fusion) Builder para WordPress es vulnerable a la divulgación de información en todas las versiones hasta, e incluyendo, la 3.11.12 a través de la función handle_clone_post() y el shortcode ‘fusion_blog’ debido a restricciones insuficientes sobre qué posts pueden ser incluidos. Esto permite a atacantes autenticados, con acceso de contribuidor o superior, extraer datos de posts protegidos por contraseña, privados o borradores a los que no deberían tener acceso.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin Avada Builder a la última versión disponible lo antes posible para mitigar el riesgo de divulgación de información sensible. Además, se recomienda restringir los privilegios de los usuarios para limitar el acceso a posts protegidos solo a aquellos que realmente necesitan visualizarlos.