El plugin de Mantenimiento de Página para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una verificación de capacidad en la función subscribe_download enganchada a través de la acción AJAX en todas las versiones hasta, e incluyendo, la 1.0.8. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, descarguen un archivo CSV que contiene correos electrónicos de suscriptores.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin a la última versión disponible, en este caso la versión 1.0.9, que corrige este problema de falta de autorización. Además, se recomienda restringir el acceso a la funcionalidad de descarga de archivos solo a roles de usuario con privilegios adecuados, como administradores u editores.
Es esencial mantener actualizados los plugins de WordPress para protegerse contra vulnerabilidades conocidas. La falta de autorización en la exposición de información sensible puede poner en riesgo la seguridad de los datos de los usuarios, por lo que es fundamental tomar medidas preventivas para garantizar la protección de la información.