En este reporte de seguridad se revela una vulnerabilidad en los plugins NextMove Lite – Thank You Page for WooCommerce y Finale Lite – Sales Countdown Timer & Discount for WooCommerce. Esta vulnerabilidad, identificada con el ID CVE-2024-1120, permite a atacantes no autenticados acceder a información del sistema sin autorización.
La vulnerabilidad radica en la falta de una verificación de capacidad en la función download_tools_settings() de todas las versiones hasta la 2.17.0 de estos plugins. Esto significa que los atacantes no autenticados pueden exportar información del sistema que puede facilitar un ataque.
Para mitigar este problema, se recomienda a los usuarios actualizar los plugins afectados a la última versión disponible de inmediato. Adicionalmente, se sugiere restringir el acceso a los sistemas afectados solo a usuarios autenticados para evitar posibles brechas de seguridad.