El plugin Post Form – Registration Form – Profile Form for User Profiles – Frontend Content Forms for User Submissions (UGC) para WordPress es vulnerable a la escalada de privilegios en todas las versiones hasta, e incluyendo, la 2.8.11.
La vulnerabilidad CVE-2024-8246 se debe a una gestión inadecuada de privilegios, ya que el plugin no restringe correctamente qué usuarios tienen acceso para establecer el rol por defecto en los formularios de registro. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, crear un formulario de registro con un rol personalizado que les permite registrarse como administradores.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la versión más reciente del plugin y revisar los permisos de los usuarios con roles de contribuidor o superior para asegurarse de que no tengan capacidades indebidas. Además, se debe limitar el acceso a la configuración de formularios de registro a usuarios confiables y de confianza.