El plugin Geo Controller para WordPress es vulnerable a la creación/eliminación no autorizada de menús debido a la falta de comprobaciones de capacidades en las funciones ajax__geolocate_menu y ajax__geolocate_remove_menu en todas las versiones hasta, e incluyendo, la 8.6.9. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, puedan crear o eliminar menús de WordPress.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin Geo Controller a la versión 8.7.0 o superior, en la cual se han implementado las correcciones necesarias para evitar la creación/eliminación no autorizada de menús. También se sugiere revisar y reforzar las políticas de seguridad en el sitio WordPress, limitando el acceso de los roles de usuario a funcionalidades sensibles como la creación/eliminación de menús. Por último, se aconseja a los usuarios mantenerse al tanto de futuras actualizaciones y parches de seguridad para proteger sus sitios de posibles vulnerabilidades.
Es fundamental que los usuarios de WordPress tomen medidas proactivas para proteger sus sitios de posibles vulnerabilidades de seguridad, como la falta de autorización en la creación/eliminación de menús. Al mantener el software actualizado y reforzar las políticas de seguridad, se puede reducir significativamente el riesgo de ser víctima de ataques cibernéticos.