El plugin LadiApp para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función save_config() en las versiones hasta, e incluyendo, la 4.4. Esto permite que atacantes autenticados con acceso de nivel suscriptor y superior actualicen la opción ‘ladipage_config’.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin LadiApp a la última versión disponible, que incluya una corrección para esta vulnerabilidad. Además, se debe revisar y limitar los permisos de los usuarios con acceso al panel de administración de WordPress para reducir el riesgo de explotación de esta vulnerabilidad. Es importante mantener los plugins y temas de WordPress actualizados y realizar auditorías de seguridad de forma regular para detectar posibles vulnerabilidades.
La falta de una adecuada autorización en la función save_config() del plugin LadiApp hasta la versión 4.4 representa un riesgo de seguridad para los sitios web que lo utilizan. Al seguir las recomendaciones mencionadas anteriormente, los usuarios pueden reducir la probabilidad de ser víctimas de ataques que aprovechen esta vulnerabilidad.