El plugin Hygiene de Medios: ¡Elimina o Borra Imágenes no Utilizadas y Más! para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidad en las acciones AJAX bulk_action_delete y delete_single_image_call en todas las versiones hasta, e incluyendo, la 3.0.1. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminar adjuntos arbitrarios. Se agregó una comprobación de nonce en la versión 3.0.1, sin embargo, no fue hasta la versión 3.0.2 que se agregó una comprobación de capacidad.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la versión 3.0.2 del plugin Hygiene de Medios para evitar posibles ataques de eliminación de adjuntos arbitrarios. Además, se recomienda a los administradores de sitios web que revisen regularmente los permisos de los roles de usuario para garantizar que no haya privilegios excesivos que puedan ser aprovechados por atacantes malintencionados. También se sugiere limitar el número de usuarios con roles de alto nivel, como el de Editor o Administrador, y fomentar prácticas seguras de gestión de usuarios. Mantener actualizados los plugins y temas de WordPress también es crucial para prevenir futuras vulnerabilidades relacionadas con la seguridad.
La falta de una adecuada autorización en el plugin Hygiene de Medios <= 3.0.1 puede conducir a la eliminación no autorizada de adjuntos en sitios web de WordPress. Actualizar a la última versión disponible y seguir buenas prácticas de seguridad puede ayudar a mitigar este riesgo y proteger la integridad de los datos de los usuarios.