El plugin Frontend Admin by DynamiApps para WordPress es vulnerable a un manejo incorrecto de excepciones de encriptación ausente en la función ‘fea_encrypt’ en todas las versiones hasta, e incluyendo, la 3.19.4. Esto permite a atacantes no autenticados manipular los formularios de procesamiento de usuarios, lo que puede utilizarse para agregar y editar usuarios administradores para escalada de privilegios, o para iniciar sesión automáticamente en usuarios para eludir la autenticación, o manipular el formulario de procesamiento de publicaciones que se puede utilizar para inyectar scripts web arbitrarios. Esto solo puede ser explotado si la extensión ‘openssl’ de php no está cargada en el servidor.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Frontend Admin by DynamiApps a la última versión disponible inmediatamente. Además, se debe asegurar que la extensión ‘openssl’ de php esté cargada en el servidor para prevenir este tipo de vulnerabilidades en el futuro.
Es crucial mantener actualizados los plugins de WordPress y asegurar una configuración segura del servidor para evitar riesgos de seguridad. La atención a los detalles como el manejo correcto de excepciones de encriptación puede prevenir posibles vulnerabilidades que podrían comprometer la integridad de un sitio web.