El plugin ConvertKit – Email Newsletter, Email Marketing, Subscribers and Landing Pages para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidad en la función tag_subscriber en todas las versiones hasta, e incluyendo, la 2.4.9. Esto hace posible que atacantes no autenticados suscriban usuarios a etiquetas. Los propietarios de sitios pueden sufrir daños financieros si su cuota de la API se excede.
ConvertKit es una herramienta popular para el envío de boletines y marketing por correo electrónico en WordPress. Sin embargo, la versión 2.4.9 y anteriores tienen una vulnerabilidad que permite a atacantes no autenticados suscribir usuarios a etiquetas sin autorización. Esto puede llevar a daños financieros si se excede la cuota de la API del sitio. Para mitigar este riesgo, se recomienda a los usuarios actualizar su plugin ConvertKit a la última versión disponible y deshabilitar las suscripciones a etiquetas por parte de usuarios no autenticados.
Es crucial mantener todos los plugins y temas de WordPress actualizados para protegerse contra posibles vulnerabilidades de seguridad como la mencionada en ConvertKit <= 2.4.9. Al tomar medidas proactivas para asegurar su sitio, los propietarios pueden reducir el riesgo de intrusos y proteger la integridad de sus datos y la experiencia del usuario.