El complemento Happy Addons for Elementor para WordPress es vulnerable a acceso no autorizado de datos debido a una falta de verificación de capacidad en la función add_row_actions() en versiones hasta, e incluyendo, la 3.10.1. Esto permite que atacantes autenticados, con acceso de nivel colaborador o superior, clonen publicaciones arbitrarias, incluyendo las protegidas por contraseña, lo que les permitiría acceder al contenido restringido de las publicaciones.
El complemento Happy Addons for Elementor es muy popular entre los usuarios de WordPress que utilizan el generador de páginas Elementor. Sin embargo, la versión 3.10.1 y anteriores presentan una vulnerabilidad en la función add_row_actions() que permite a atacantes autenticados evadir la autorización y clonar publicaciones sin restricción.
Esta vulnerabilidad afecta a los usuarios con acceso de nivel colaborador o superior. Los atacantes pueden aprovechar esta vulnerabilidad para acceder a contenido restringido, como publicaciones protegidas por contraseña, y clonarlas.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del complemento (si está disponible) o desactivarlo hasta que se publique una corrección.
Además, se sugiere revisar y ajustar los roles y permisos de los usuarios para limitar el nivel de acceso y reducir el riesgo de explotación de esta vulnerabilidad.
La falta de verificación de capacidad en la función add_row_actions() del complemento Happy Addons for Elementor hasta la versión 3.10.1 puede permitir que atacantes autenticados clonen publicaciones arbitrarias y accedan a contenido restringido. Los usuarios deben tomar medidas inmediatas para mitigar este riesgo, como actualizar el complemento o desactivarlo temporalmente, y revisar los roles y permisos de los usuarios. Mantener los sistemas actualizados y seguir las buenas prácticas de seguridad es fundamental para protegerse contra estas vulnerabilidades.