Recopilación de vulnerabilidades WordPress.

AnyWhere Elementor <= 1.2.11 – Divulgación de Posts Autenticados (Contribuidor+)

El plugin AnyWhere Elementor para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 1.2.11 a través del shortcode ‘INSERT_ELEMENTOR’ debido a restricciones insuficientes sobre qué posts se pueden incluir. Esto permite que atacantes autenticados, con acceso de nivel Contribuidor y superior, extraigan datos de posts privados o en borrador creados por Elementor a los que no deberían tener acceso.

La vulnerabilidad CVE-2024-10777 en el plugin AnyWhere Elementor hasta la versión 1.2.11 permite a usuarios autenticados con roles de Contributor o superiores acceder a datos de posts que no les corresponden, exponiendo información confidencial. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, superior a la 1.2.11. Además, se recomienda revisar y restringir los roles y permisos de los usuarios para limitar el acceso a funcionalidades sensibles en el sitio.
Es fundamental mantener actualizados todos los plugins y temas en WordPress para proteger el sitio de posibles vulnerabilidades de seguridad. En el caso de AnyWhere Elementor <= 1.2.11, la actualización a la última versión disponible es crucial para evitar la divulgación de información sensible a usuarios no autorizados.

Related Article