Se ha detectado una vulnerabilidad en el plugin GiveWP – Plugin de Donaciones y Plataforma de Recaudación de Fondos para WordPress en todas las versiones hasta, e incluyendo, la 3.13.0. Esta vulnerabilidad permite a atacantes autenticados, con acceso de nivel GiveWP Worker y superiores, eliminar y actualizar publicaciones arbitrarias a través de la función ‘handleRequest’ debido a la falta de validación en una clave controlada por el usuario.
Los usuarios afectados por esta vulnerabilidad deben tomar medidas para actualizar el plugin GiveWP a la última versión disponible, en este caso la versión 3.14.0. Además, se recomienda limitar el número de roles con acceso al nivel GiveWP Worker+ y supervisar de cerca las acciones realizadas por los usuarios con permisos para evitar posibles acciones maliciosas.
Es crucial mantenerse al tanto de las actualizaciones de seguridad de los plugins utilizados en WordPress y tomar las medidas necesarias para protegerse contra posibles vulnerabilidades como la descrita en CVE-2024-5977.