El plugin License Manager for WooCommerce para WordPress es vulnerable a un acceso no autorizado de datos debido a la falta de una verificación de capacidad en las funciones ‘lmfwc_show_license_key’ y ‘lmfwc_show_all_license_keys’ en todas las versiones hasta, e incluyendo, la 3.0.7. Esto hace posible que atacantes autenticados, con acceso al panel de administración (contribuyentes por defecto debido a WooCommerce), puedan ver claves de licencia arbitrarias desencriptadas. La versión 3.0.7 agregó una verificación de nonce, sin embargo, aún faltaba una verificación de capacidad.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible para mitigar el riesgo de que sus claves de licencia sean expuestas. Además, se recomienda restringir el acceso al panel de administración de WordPress solo a usuarios autorizados y revisar regularmente los registros de actividad en busca de comportamientos sospechosos.
La seguridad de los plugins de WordPress es fundamental para evitar la exposición de información sensible. Es responsabilidad de los propietarios de sitios web mantener sus plugins actualizados y tomar medidas proactivas para proteger sus datos.