El plugin Countdown Timer block – Display the event’s date into a timer para WordPress es vulnerable a la Divulgación de Información en todas las versiones hasta, e incluyendo, la 1.2.4 a través del shortcode [ctb] debido a restricciones insuficientes sobre qué publicaciones pueden incluirse. Esto permite a atacantes autenticados, con acceso a nivel de Contribuidor y superior, extraer datos de publicaciones protegidas por contraseña, privadas o en borrador a las que no deberían tener acceso.
La vulnerabilidad CVE-2024-10669 en el plugin Countdown Timer block – Display the event’s date into a timer permite a usuarios autenticados con roles de Contributor o superiores ver información de publicaciones protegidas o privadas a través del shortcode [ctb]. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, 1.2.5. Además, se debe revisar y verificar los permisos de los usuarios para garantizar que solo tengan acceso a la información necesaria.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para mitigar posibles vulnerabilidades de seguridad. No proporcionar más permisos de los necesarios a los usuarios también ayuda a prevenir accesos no autorizados a información sensible.