El plugin Comment Images Reloaded para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la acción AJAX cir_delete_image en todas las versiones hasta, e incluyendo, la 2.2.1. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen adjuntos de medios arbitrarios.
La vulnerabilidad identificada CVE-2024-5856 en el plugin Comment Images Reloaded impacta la seguridad de los sitios web de WordPress que lo utilizan. Al no verificar las capacidades del usuario en la acción cir_delete_image, se abre la puerta a la eliminación no autorizada de medios. Para mitigar este riesgo, se recomienda a los usuarios actualizar su plugin a la última versión disponible inmediatamente. Además, se sugiere restringir los permisos de los usuarios para evitar que los suscriptores y roles superiores puedan eliminar medios de forma arbitraria.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse de vulnerabilidades como la detectada en Comment Images Reloaded. Al tomar medidas proactivas, como limitar los privilegios de los usuarios y aplicar las últimas actualizaciones de seguridad, se puede reducir significativamente el riesgo de una violación de datos.