La vulnerabilidad CVE-2024-6069 en el plugin Registration Forms – User Registration Forms, Invitation-Based Registrations, Front-end User Profile, Login Form & Content Restriction para WordPress permite a usuarios autenticados con roles de Suscriptor o superiores instalar, activar y desactivar plugins arbitrarios de forma no autorizada, lo que podría llevar a la ejecución de código en el servidor objetivo.
La falta de comprobaciones de capacidades en las funciones pieregister_install_addon, pieregister_activate_addon y pieregister_deactivate_addon en todas las versiones hasta la 3.8.3.4 permite a un atacante autenticado realizar acciones maliciosas con plugins en el sitio web vulnerado. Utilizando privilegios de Suscriptor o superior, un atacante podría hacer uso de esta vulnerabilidad para comprometer la seguridad del sitio e incluso realizar ejecución de código en el servidor.
Se recomienda a los usuarios del plugin Pie Register – Basic actualizarlo a la última versión disponible para corregir esta vulnerabilidad. Asimismo, se deben revisar periódicamente los permisos de los usuarios en WordPress para evitar que roles con acceso limitado puedan realizar acciones críticas como la instalación de plugins. Mantener actualizados los plugins y temas en WordPress es crucial para asegurar la integridad y seguridad del sitio web.