El plugin HurryTimer – Un temporizador de cuenta regresiva de escasez y urgencia para WordPress & WooCommerce es vulnerable a la publicación no autorizada de posts debido a la falta de verificación de capacidades en la función activateCampaign() en todas las versiones hasta, e incluyendo, la 2.10.0. Esto permite a atacantes autenticados, con acceso de nivel colaborador y superior, publicar posts arbitrarios como los que han enviado para su revisión, o que un administrador del sitio tiene en borrador.
La vulnerabilidad CVE-2024-8667 en el plugin HurryTimer podría ser explotada por atacantes autenticados con un nivel de acceso de colaborador o superior. Al no tener una verificación adecuada de capacidades en la función activateCampaign(), los atacantes podrían publicar posts arbitrarios en el sitio. Esta vulnerabilidad podría ser utilizada para difundir contenido malicioso, realizar campañas de phishing o comprometer la integridad del sitio.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin HurryTimer a la última versión disponible. Además, se sugiere revisar y limitar los roles de usuario con privilegios de colaborador o superior para reducir el riesgo de explotación. Mantener todos los plugins y temas actualizados es fundamental para garantizar la seguridad de tu sitio WordPress.