La vulnerabilidad CVE-2024-4788, también conocida como Missing Authorization, afecta al plugin Boostify Header Footer Builder para Elementor en versiones anteriores o iguales a la 1.3.3. Esta vulnerabilidad permite a atacantes autenticados, con nivel de acceso de suscriptor o superior, crear páginas o entradas con contenido arbitrario.
El problema radica en la falta de una verificación de capacidad en la función create_bhf_post, lo que significa que los usuarios con roles de suscriptor o superiores podrían abusar de esta vulnerabilidad para modificar datos de manera no autorizada en un sitio web WordPress que utilice este plugin. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Boostify Header Footer Builder a la última versión disponible y limitar los roles y permisos de los usuarios para reducir el impacto de posibles ataques.
Es crucial que los administradores de sitios web WordPress estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios. Actualizar regularmente los plugins y mantener una política de roles y permisos estricta son prácticas recomendadas para garantizar la seguridad de su sitio.