El plugin HTML5 Video Player – mp4 Video Player Plugin and Block para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función ‘save_password’ en todas las versiones hasta, e incluyendo, la 2.5.34. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, establecer cualquier opción que no esté explícitamente verificada como falsa a un array, incluida la habilitación del registro de usuarios si está desactivado.
Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del plugin tan pronto como sea posible. Además, se recomienda a los administradores del sitio revisar regularmente los permisos de los roles de usuario en WordPress para asegurarse de que no haya privilegios innecesarios asignados a los suscriptores y otros roles de nivel inferior. También se sugiere mantener un monitoreo constante de posibles actividades sospechosas en el sitio para detectar cualquier intento de explotación de esta vulnerabilidad.
Es crucial tomar medidas proactivas para proteger los sitios web de posibles ataques basados en esta vulnerabilidad. Siguiendo las recomendaciones mencionadas, los usuarios pueden subsanar el problema y reducir el riesgo de compromiso de seguridad en sus sitios WordPress.