El plugin Instant Images – One Click Image Uploads from Unsplash, Openverse, Pixabay and Pexels para WordPress es vulnerable a una actualización no autorizada de opciones debido a una verificación insuficiente que no verifica si la opción actualizada pertenece al plugin en el punto final instant-images/license REST API en todas las versiones hasta, e incluyendo, la versión 6.1.0. Esto permite que los autores y superiores actualicen opciones arbitrarias.
Este fallo de seguridad en el plugin Instant Images permite que personas con permisos de autor o superior realicen actualizaciones no autorizadas en las opciones del plugin. Esto podría llevar a la modificación o eliminación de opciones importantes del plugin, causando un funcionamiento inesperado o incluso poner en riesgo la integridad del sitio.
Para solucionar este problema, se recomienda actualizar el plugin a la última versión disponible lo antes posible. Siempre se debe mantener actualizado todo el software utilizado en un sitio web para evitar vulnerabilidades conocidas y aprovechadas por atacantes.
Además, es importante limitar los permisos de usuario y asignarlos adecuadamente. Solo los usuarios de confianza deben tener permisos de autor o superiores, y se recomienda revisar y eliminar cualquier usuario innecesario o no utilizado. Esto ayudará a reducir las posibilidades de que un atacante aproveche esta vulnerabilidad.
En general, es fundamental seguir buenas prácticas de seguridad, como realizar copias de seguridad regularmente, utilizar contraseñas fuertes y únicas, y mantenerse informado sobre las últimas actualizaciones de seguridad relacionadas con los plugins y temas utilizados en WordPress.
La vulnerabilidad de actualización arbitraria de opciones en el plugin Instant Images puede permitir que usuarios no autorizados realicen cambios no deseados en las opciones del plugin. Mantener el plugin actualizado y asignar adecuadamente los permisos de usuario son medidas clave para mitigar este riesgo de seguridad. Además, es importante seguir las buenas prácticas de seguridad recomendadas para WordPress en general.