El plugin Passwords Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en las acciones AJAX ‘pms_save_setting’ y ‘post_new_pass’ en todas las versiones hasta, e incluyendo, la 1.4.8. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, actualicen la configuración de los complementos y agreguen contraseñas.
La falta de autorización adecuada en las acciones AJAX mencionadas puede permitir a un atacante modificar las configuraciones del plugin e insertar contraseñas en el sistema, lo que podría comprometer la seguridad de la información almacenada. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Passwords Manager a la última versión disponible y limitar el acceso de los roles de usuario en WordPress a las funcionalidades estrictamente necesarias.
Es fundamental tomar medidas proactivas para proteger la integridad de los datos y la seguridad del sitio web al mantener todos los plugins y temas actualizados, así como implementar prácticas de seguridad sólidas en la gestión de contraseñas y permisos de usuario en WordPress.