El plugin de donaciones y plataforma de recaudación de fondos GiveWP para WordPress es vulnerable a accesos no autorizados y eliminación de datos debido a la falta de comprobación de capacidades en la función ‘handle_request’ en todas las versiones hasta, e incluyendo, la 3.14.1. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, leer rutas de archivos adjuntos y eliminar archivos de adjuntos.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin GiveWP a la versión más reciente disponible, que incluye una corrección para esta brecha de seguridad. Además, se recomienda revisar los permisos de usuario en WordPress y limitar el acceso de los roles de suscriptor y superiores a funciones sensibles como la eliminación de archivos.
Es crucial mantener los plugins de WordPress actualizados y realizar revisiones periódicas de seguridad para prevenir posibles brechas como la descubierta en GiveWP.