En este informe de seguridad te mostraremos una vulnerabilidad en el complemento NextMove Lite – Thank You Page for WooCommerce para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con acceso de suscriptor o superior, instalar y activar complementos arbitrarios sin la debida autorización.
El complemento NextMove Lite – Thank You Page for WooCommerce para WordPress presenta una falta de verificación de capacidad en la función ‘xl_addon_installation’, en todas las versiones hasta, e incluyendo, la versión 2.17.0. Esta falta de autorización permite a atacantes autenticados, con acceso de suscriptor o superior, instalar y activar complementos arbitrarios sin la debida autorización.
Para subsanar este problema, los usuarios deben actualizar el complemento a la última versión disponible, que ya incluye la corrección de esta vulnerabilidad. Además, se recomienda revisar y limitar los privilegios de los usuarios dentro del sistema de gestión de WordPress, para evitar que personas con acceso de suscriptor o superior puedan aprovechar esta vulnerabilidad.
La falta de autorización en el complemento NextMove Lite – Thank You Page for WooCommerce hasta la versión 2.17.0 representa un riesgo de seguridad para los usuarios de WordPress. Actualizar a la última versión del complemento y restringir los privilegios de los usuarios son medidas fundamentales para mitigar esta vulnerabilidad y proteger tu sitio web.