La vulnerabilidad de escalada de privilegios en el plugin Newsletters para WordPress afecta a todas las versiones hasta la 4.9.9.2. Esto se debe a que el plugin no restringe qué metadatos de usuario se pueden actualizar como opciones de pantalla. Esto permite que atacantes autenticados, con acceso de nivel suscriptor o superior, escalen sus privilegios al de un administrador. Por favor, tenga en cuenta que esto solo afecta a usuarios con acceso para editar/actualizar opciones de pantalla, lo que significa que un administrador tendría que otorgar a los usuarios de menor privilegio acceso a la página de Correos Enviados y Borradores del plugin para que esto sea explotado.
La vulnerabilidad CVE-2024-8247 en el plugin Newsletters ofrece a los atacantes la posibilidad de aumentar sus privilegios de forma autenticada, lo que podría resultar en un compromiso de seguridad grave para sitios web que utilicen este plugin. Para mitigar este riesgo, se recomienda a los usuarios que actualicen a la última versión disponible del plugin tan pronto como sea posible. Además, se sugiere limitar el acceso a las funciones de administración solo a usuarios de confianza y revisar regularmente los permisos de los roles de usuario para evitar posibles abusos.
Es crucial para los propietarios de sitios web que utilicen el plugin Newsletters asegurarse de estar al tanto de estas vulnerabilidades y tomar las medidas necesarias para proteger sus sitios. Mantener el software actualizado y limitar los privilegios de los usuarios pueden ayudar a prevenir incidentes de seguridad graves.