El plugin Message Filter for Contact Form 7 para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función saveFilter() en todas las versiones hasta, e incluyendo, la 1.6.3. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, crear nuevos filtros.
La vulnerabilidad CVE-2024-12026 en el plugin Message Filter for Contact Form 7 <= 1.6.3 se debe a una falta de comprobación de capacidades al crear nuevos filtros. Esto significa que los usuarios autenticados con roles de Suscriptor o superiores pueden manipular los filtros existentes o crear nuevos según sus necesidades. Para mitigar esta vulnerabilidad, se recomienda realizar una actualización a la versión más reciente del plugin tan pronto como esté disponible. Además, se sugiere limitar los roles con capacidades para crear filtros a usuarios de confianza y realizar auditorías periódicas de filtros para detectar actividades maliciosas.
La falta de autorización en la creación de nuevos filtros en el plugin Message Filter for Contact Form 7 <= 1.6.3 representa un riesgo de seguridad para los usuarios de WordPress. Al aplicar las soluciones sugeridas, se puede reducir la posibilidad de ataques y proteger la integridad de los datos del sitio web.