Se ha identificado una vulnerabilidad en el plugin Duplicate Post, Page and Any Custom Post para WordPress que permite la divulgación de información sensible a actores no autorizados a través de la función ‘dpp_duplicate_as_draft’. Esto posibilita a atacantes autenticados, con acceso de nivel Contributor y superior, extraer datos potencialmente sensibles de publicaciones en estado de borrador, programadas (futuras), privadas y protegidas con contraseña.
La vulnerabilidad CVE-2024-12538 afecta a todas las versiones del plugin hasta la 3.5.3. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y evitar duplicar publicaciones sensibles. Asimismo, se aconseja limitar el acceso a roles con permisos de Contributor o superiores y revisar periódicamente las publicaciones programadas, privadas y protegidas con contraseña para asegurar que no se divulgue información sensible.
La divulgación de publicaciones a través de la duplicación en Duplicate Post, Page and Any Custom Post representa un riesgo para la seguridad de los datos en WordPress. Es fundamental que los usuarios tomen medidas proactivas para proteger la información sensible y mantener sus sitios seguros frente a posibles ataques.