El almacenamiento de datos en el lado del administrador para el plugin Contact Form 7 de WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función zt_dcfcf_change_status() en todas las versiones hasta, e incluyendo, la 1.1.1. Esto hace posible que atacantes no autenticados alteren el estado de lectura de mensajes.
El problema radica en que el plugin no verifica adecuadamente si el usuario tiene los permisos necesarios para modificar el estado de lectura de los mensajes. Esto puede conducir a una manipulación no autorizada de datos por parte de usuarios malintencionados. Para mitigar este riesgo, se recomienda a los usuarios de Contact Form 7 que actualicen a la última versión del plugin, donde se haya corregido esta vulnerabilidad. Además, se aconseja implementar medidas de seguridad adicionales, como limitar el acceso al panel de administración solo a usuarios autorizados y mantener el software actualizado regularmente.
Es crucial que los administradores de sitios web sean conscientes de las vulnerabilidades presentes en plugins como Contact Form 7 y tomen las medidas necesarias para proteger sus sitios de posibles ataques. La actualización constante y la aplicación de las mejores prácticas de seguridad son fundamentales para mantener la integridad de los datos y la privacidad de los usuarios.