La vulnerabilidad CVE-2024-6698 se encuentra en el plugin FundEngine para WordPress en todas las versiones hasta, e incluyendo, la 1.7.0. Esta vulnerabilidad se debe a que el plugin no verifica correctamente los metadatos de usuario actualizados a través de la función update_user_meta. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar sus metadatos de usuario, lo que puede ser aprovechado para actualizar sus capacidades y obtener acceso de administrador.
Para subsanar este problema, se recomienda a los usuarios de WordPress que utilicen el plugin FundEngine actualizar a la última versión disponible inmediatamente. Además, se debe verificar regularmente las actualizaciones de seguridad de los plugins instalados y mantener una vigilancia constante en los cambios realizados en los metadatos de usuario dentro del administrador de WordPress.
Es crucial mantener actualizados tanto los plugins como la plataforma de WordPress para evitar posibles vulnerabilidades de seguridad. La escalada de privilegios autenticados es un riesgo significativo que puede comprometer la integridad y seguridad de un sitio web WordPress, por lo que es importante tomar medidas proactivas para protegerse a sí mismo y a los datos de los usuarios.