El plugin Directorist – WordPress Business Directory Plugin with Classified Ads Listings para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en la función ‘setup_wizard’ en todas las versiones hasta, e incluyendo, la 7.8.4. Esto permite a atacantes no autenticados recrear páginas por defecto y habilitar o deshabilitar la monetización y cambiar el proveedor de mapas.
El plugin Directorist es ampliamente utilizado en sitios de directorios y clasificados en WordPress, lo que lo convierte en un objetivo atractivo para los atacantes. La vulnerabilidad radica en la función ‘setup_wizard’ del plugin, que no realiza una verificación adecuada de la capacidad del usuario antes de permitir cambios en la configuración. Como resultado, un atacante no autenticado puede aprovechar esta falla para realizar modificaciones no autorizadas en el sitio.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Directorist a la última versión disponible, que incluye un parche de seguridad para corregir esta vulnerabilidad. Además, se recomienda implementar medidas adicionales de seguridad, como la utilización de plugins de seguridad confiables y la aplicación de buenas prácticas en la gestión de contraseñas y permisos de usuario.
La falta de autorización en la función ‘setup_wizard’ del plugin Directorist hasta la versión 7.8.4 puede permitir a atacantes no autenticados realizar cambios no autorizados en la configuración del sitio. Actualizar el plugin a la última versión disponible y seguir buenas prácticas de seguridad son pasos clave para protegerse de esta vulnerabilidad.