El plugin AI Quiz | Quiz Maker para WordPress es vulnerable a la modificación no autorizada de datos que puede resultar en escalada de privilegios debido a la falta de comprobación de capacidad en la función ai_quiz_update_style() en todas las versiones hasta, e incluyendo, la 1.1. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, actualicen opciones arbitrarias en el sitio de WordPress. Esto se puede aprovechar para actualizar el rol predeterminado para el registro a administrador y habilitar el registro de usuarios para que los atacantes obtengan acceso de usuario administrativo a un sitio vulnerable.
La vulnerabilidad CVE-2024-11323 en el plugin AI Quiz | Quiz Maker hasta la versión 1.1 puede ser explotada por atacantes autenticados con privilegios de Suscriptor y superiores para realizar actualizaciones arbitrarias en el sitio de WordPress. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, se aconseja restringir el acceso de los usuarios a roles con permisos estrictamente necesarios para reducir el riesgo de escalada de privilegios.
Es fundamental que los administradores de sitios web WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger sus sitios. Mantener todos los plugins y temas actualizados, implementar políticas de acceso adecuadas y realizar auditorías de seguridad periódicas son buenas prácticas para reducir la exposición a posibles ataques.