La vulnerabilidad identificada en el plugin para WordPress ‘Contact Form builder with drag & drop for WordPress – Kali Forms’ hasta la versión 2.3.41 permite a atacantes autenticados, con acceso de suscriptor o superior, desactivar cualquier plugin activo de forma no autorizada.
La función await_plugin_deactivation carece de una verificación de capacidades, lo que permite a cualquier usuario autenticado con los privilegios necesarios llevar a cabo la desactivación de plugins de forma arbitraria. Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se debe limitar el acceso de los usuarios a roles y capacidades estrictamente necesarios para reducir el riesgo de explotación de esta vulnerabilidad.
Es fundamental mantener actualizados todos los plugins y temas en un sitio de WordPress y restringir el acceso de los usuarios a funciones que no necesitan para operar de manera segura en línea. Al tomar medidas proactivas, se puede reducir significativamente el riesgo de ser víctima de ataques cibernéticos.