El plugin Friends para WordPress es vulnerable a accesos no autorizados debido a la falta de una verificación de capacidades en varios puntos finales de la API REST en todas las versiones hasta, e incluyendo, la 3.2.1. Esto permite que atacantes no autenticados envíen solicitudes de amistad arbitrarias en nombre de otro sitio web, acepten la solicitud de amistad para el sitio web objetivo y luego se comuniquen con el sitio como un amigo aceptado.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Friends a la última versión disponible (superior a 3.2.1) para corregir el problema de falta de autorización. Además, se recomienda a los usuarios configurar adecuadamente los permisos de la API REST en sus instalaciones de WordPress para limitar el acceso no autorizado. Mantener un monitoreo constante de la actividad de la API REST y llevar a cabo auditorías de seguridad de forma regular también puede ayudar a identificar posibles brechas de seguridad.
Es fundamental que los administradores de sitios web en WordPress estén al tanto de las vulnerabilidades en plugins populares como Friends y tomen medidas proactivas para proteger sus sitios contra accesos no autorizados. La actualización oportuna de las extensiones y la configuración adecuada de los permisos son pasos clave para garantizar la seguridad de un sitio web.