Recopilación de vulnerabilidades WordPress.

Descarga de Monitor <= 5.0.9 – Falta de Autorización para Habilitar Tienda como Usuario Autenticado (Suscriptor+)

El plugin Download Monitor para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función enable_shop() en todas las versiones hasta, e incluyendo, la 5.0.9. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, habilitar la funcionalidad de tienda.

La vulnerabilidad CVE-2024-8552 en el plugin Download Monitor hasta la versión 5.0.9 permite a usuarios autenticados con roles de Suscriptor o superiores habilitar la funcionalidad de tienda sin la debida autorización. Esto puede llevar a la modificación no autorizada de datos y potencialmente a la ejecución de acciones maliciosas en el sitio web. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión disponible del plugin Download Monitor y revisar periódicamente los roles y capacidades de los usuarios en WordPress.
Es crucial mantener todos los plugins y temas de WordPress actualizados para evitar posibles vulnerabilidades de seguridad. Al implementar las últimas actualizaciones y revisar regularmente los permisos de los usuarios, se puede reducir el riesgo de exposición a ataques maliciosos en sitios web basados en WordPress.

Related Article