La vulnerabilidad CVE-2024-9235 en el plugin Mapster WP Maps para WordPress permite la modificación no autorizada de datos que puede resultar en una escalada de privilegios debido a una verificación insuficiente de capacidades en la función mapster_wp_maps_set_option_from_js() en todas las versiones hasta, e incluyendo, la 1.5.0. Esto permite a atacantes autenticados con acceso de nivel contribuyente y superior, actualizar opciones arbitrarias en el sitio de WordPress. Esto se puede aprovechar para actualizar el rol predeterminado para el registro a administrador y habilitar el registro de usuarios para que los atacantes obtengan acceso de usuario administrativo a un sitio vulnerable.
Los usuarios afectados por esta vulnerabilidad deben desactivar temporalmente el plugin Mapster WP Maps hasta que se publique una actualización de seguridad. Se recomienda también limitar el acceso de los usuarios con roles de contribuyente y superior, así como mantener actualizados los plugins y temas de WordPress para reducir el riesgo de exposición a vulnerabilidades.
Es importante tomar medidas proactivas para proteger los sitios web de WordPress de posibles ataques aprovechando esta vulnerabilidad en el plugin Mapster WP Maps. Mantenerse informado y aplicar las actualizaciones de seguridad pertinentes es fundamental para garantizar la integridad y seguridad de los sitios web en todo momento.