El plugin de plataforma de crowdfunding IgnitionDeck para WordPress es vulnerable a la Falta de Autorización en versiones hasta, e incluyendo, 1.9.8. Esto se debe a la falta de verificaciones de capacidades en varias funciones llamadas a través de acciones AJAX en el archivo ~/classes/class-idf-wizard.php. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, ejecuten varias acciones AJAX. Esto incluye acciones para cambiar la estructura de los enlaces permanentes, configuraciones de plugins y otros.
Para subsanar este problema, se recomienda a los usuarios que actualicen a la última versión del plugin IgnitionDeck Crowdfunding Platform, en la cual se han implementado correcciones de seguridad. Además, se recomienda revisar y restringir los permisos de los usuarios en WordPress para limitar el acceso a funciones y acciones sensibles. Mantener los plugins y temas de WordPress actualizados regularmente también es clave para evitar vulnerabilidades.
Es fundamental que los usuarios tomen medidas proactivas para proteger sus sitios WordPress, incluyendo la actualización de plugins y temas, la configuración adecuada de permisos de usuario y la vigilancia constante de posibles vulnerabilidades.