La extensión de Newsletter – API v1 y v2 para WordPress es vulnerable a la gestión no autorizada de suscriptores debido a un problema de juggling de tipos de PHP en la función check_api_key en todas las versiones hasta, e incluyendo, la 2.4.5. Esto permite que atacantes no autenticados puedan listar, crear o eliminar suscriptores de newsletter. Esta vulnerabilidad afecta solamente a sitios que ejecutan la versión de PHP por debajo de 8.0.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin Newsletter a la versión más reciente disponible. Además, se recomienda a los usuarios limitar el acceso a la gestión de suscriptores solo a usuarios autenticados y autorizados. Otra medida preventiva es monitorear regularmente la actividad de los suscriptores para detectar posibles acciones no autorizadas.
Es crucial que los administradores de sitios web tomen medidas proactivas para protegerse contra vulnerabilidades como esta en sus plugins y extensiones. Mantenerse actualizado con las últimas versiones y seguir las mejores prácticas de seguridad puede ayudar a prevenir posibles brechas de seguridad.