El plugin Accordion para WordPress es vulnerable a acceso no autorizado de datos y modificación de datos debido a la falta de una comprobación de capacidad en la función ‘accordions_duplicate_post_as_draft’ en todas las versiones hasta, e incluyendo, la 2.2.96. Esto permite que atacantes autenticados, con acceso de contribuidor y superior, dupliquen posts arbitrarios, lo que les permite acceder al contenido de posts protegidos por contraseña.
La vulnerabilidad CVE-2024-1641 permite que usuarios autenticados con roles de contribuidor o superior puedan duplicar posts sin tener la autorización adecuada. Esto puede llevar a la exposición de información sensible almacenada en posts protegidos por contraseña. Para subsanar este problema, los usuarios deben actualizar el plugin Accordion a la versión 2.2.97 o posterior. Además, se recomienda restringir los roles de usuario para limitar la capacidad de duplicación de posts a roles de mayor confianza, como editores o administradores.
Es crucial mantener actualizados los plugins de WordPress para protegerse contra vulnerabilidades conocidas. Al aplicar la última versión de Accordion, los usuarios pueden mitigar el riesgo de acceso no autorizado y proteger la integridad de sus datos y contenido del sitio web.