El plugin Campos Extra de Comentarios para Entradas, Páginas y Tipos de Entradas para WordPress es vulnerable a una Autorización Faltante en todas las versiones hasta, e incluyendo, la 5.0. Esto se debe a la falta de verificaciones de capacidades en varias acciones ajax. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, invoquen esas acciones. Como resultado, pueden modificar campos del formulario de comentarios y actualizar la configuración del plugin.
Los usuarios afectados por esta vulnerabilidad deben asegurarse de actualizar el plugin a la última versión disponible lo antes posible. Además, se recomienda restringir el acceso de usuario a roles con las capacidades mínimas necesarias para reducir el riesgo de abuso. Otra medida preventiva es mantener un monitoreo constante de los registros de actividad del sitio para detectar posibles actividades sospechosas.
La falta de autorización en el plugin Campos Extra de Comentarios para Entradas, Páginas y Tipos de Entradas hasta la versión 5.0 representa un riesgo potencial para los sitios WordPress. Es fundamental que los usuarios tomen medidas proactivas para proteger sus sitios y evitar posibles compromisos de seguridad.