El plugin Bricks Builder para WordPress es vulnerable a Referencia Directa de Objeto Insegura en todas las versiones hasta, e incluyendo, la 1.9.8 a través del parámetro postId debido a la falta de validación en una clave controlada por el usuario. Esto permite a atacantes autenticados, con acceso de Nivel Contribuidor y superior, modificar publicaciones y páginas creadas por otros usuarios, incluidos los administradores. Como requisito para esto, un administrador tendría que habilitar el acceso al editor específicamente para ese usuario o habilitarlo para todos los usuarios con un cierto tipo de cuenta de usuario.
La vulnerabilidad de Referencia Directa de Objeto Insegura en Bricks Builder <= 1.9.8 (CVE-2024-4874) permite a atacantes autenticados con ciertos niveles de acceso modificar publicaciones y páginas de otros usuarios, incluidos los administradores. Para mitigar este riesgo, los usuarios deben asegurarse de que solo se otorgue acceso al editor a usuarios confiables y de confianza. Además, es importante mantener el plugin actualizado a la última versión disponible para evitar posibles explotaciones de esta vulnerabilidad.
Es crucial para los usuarios de Bricks Builder actualizar el plugin a la última versión disponible y ser cautelosos al otorgar permisos de acceso a editores y otros roles de usuario en WordPress, con el fin de prevenir posibles ataques de Referencia Directa de Objeto Insegura.