El plugin NEX-Forms – Ultimate Form Builder – Contact forms y mucho más para WordPress es vulnerable a accesos no autorizados debido a una falta de verificación de capacidades en la función restore_records() en todas las versiones hasta, e incluyendo, la versión 8.5.6. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, restaurar registros.
La falta de autorización en el plugin NEX-Forms – Ultimate Form Builder puede ser un riesgo significativo para tu sitio web de WordPress. Esto se debe a que los atacantes autenticados, con niveles de acceso desde suscriptor en adelante, pueden aprovechar la función restore_records() para restaurar registros de forma no autorizada. Esto significa que los atacantes pueden modificar los registros existentes, lo que puede llevar a la exposición de información confidencial o la manipulación de datos. Para mitigar este problema, se recomienda aplicar una solución provisional hasta que se publique un parche oficial. Los usuarios pueden desactivar temporalmente el plugin NEX-Forms hasta que se solucione el problema de seguridad. Además, se recomienda mantener siempre actualizado el software de WordPress y los plugins, ya que las actualizaciones suelen incluir correcciones de seguridad.
En resumen, el plugin NEX-Forms – Ultimate Form Builder – Contact forms y mucho más para WordPress es vulnerable a accesos no autorizados debido a una falta de verificación de capacidades en la función restore_records(). Esto puede permitir que atacantes autenticados, con niveles de acceso desde suscriptor en adelante, restauren registros de forma no autorizada. Se recomienda tomar medidas inmediatas para mitigar este riesgo, como desactivar temporalmente el plugin y mantener actualizado el software de WordPress y los plugins.