El plugin Easy Appointments para WordPress es vulnerable a la modificación no autorizada de datos debido a una validación insuficiente del usuario en la función ajax_cancel_appointment() en todas las versiones hasta, e incluyendo, la 3.11.18. Esto hace posible que atacantes no autenticados cancelen pedidos de otros usuarios.
La falta de validación adecuada del usuario en la función ajax_cancel_appointment() permite a un atacante no autenticado modificar datos de citas de otros usuarios sin permiso. Esto puede llevar a cancelaciones no deseadas de citas, pérdida de información o incluso daños en la integridad de los datos. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin, en este caso, la 3.11.19, que corrige esta vulnerabilidad. Además, se debe implementar un control de acceso adecuado para restringir el acceso a funciones sensibles solo a usuarios autorizados.
La vulnerabilidad de autorización insuficiente en el plugin Easy Appointments hasta la versión 3.11.18 pone en peligro la integridad de los datos de los usuarios. Es fundamental que los administradores de sitios web sigan las buenas prácticas de seguridad, como mantener todos los plugins y themes actualizados, para protegerse contra este tipo de amenazas potenciales.