El complemento para formularios de contacto, encuestas y formularios emergentes para WordPress – ARForms Form Builder plugin para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de una verificación de capacidades en la función ‘arflite_remove_preview_data’ en todas las versiones hasta, e incluyendo, la 1.6.4. Esto permite a atacantes autenticados, con acceso de suscriptor y superior, eliminar opciones arbitrarias del sitio, lo que resulta en la pérdida de disponibilidad.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin ARForms Form Builder a la última versión disponible, en este caso, la versión 1.6.5. Además, se recomienda restringir el acceso de los usuarios a roles con mayores privilegios, limitando así la posibilidad de que un atacante autenticado pueda llevar a cabo una eliminación arbitraria de opciones en el sitio.
La falta de una correcta autorización en el plugin ARForms Form Builder puede poner en riesgo la disponibilidad de un sitio WordPress. Por ello, es fundamental tomar medidas preventivas como mantener todos los plugins actualizados y gestionar adecuadamente los roles de usuario para evitar posibles ataques de este tipo.