El plugin ForumWP – Foro y Tablero de Discusión para WordPress es vulnerable a Escalada de Privilegios a través de Referencia Directa de Objeto Insegura en todas las versiones hasta, e incluyendo, 2.0.2 debido a la falta de validación en la clave controlada por el usuario ‘user_id’. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, cambiar la dirección de correo electrónico de las cuentas de usuario administrativas, lo que luego puede ser aprovechado para restablecer la contraseña de los usuarios administrativos y obtener acceso a sus cuentas.
Un atacante autenticado con privilegios de suscriptor o superiores puede aprovechar esta vulnerabilidad para tomar el control de una cuenta administrativa y obtener acceso a información privilegiada dentro del sitio WordPress. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin ForumWP a la última versión disponible, 2.0.3, que corrige esta vulnerabilidad. Además, se sugiere revisar regularmente las cuentas de usuario y sus niveles de privilegio para identificar posibles cambios no autorizados en las mismas.
Es crucial mantener actualizados todos los plugins y temas de WordPress para mitigar riesgos de seguridad. La rápida implementación de parches y actualizaciones es fundamental para proteger los sitios web contra posibles vulnerabilidades como la detectada en ForumWP – Foro y Tablero de Discusión. Además, se recomienda a los administradores de sitios web estar atentos a cualquier actividad sospechosa en las cuentas de usuario y tomar medidas correctivas de inmediato para salvaguardar la integridad y seguridad de su sitio.