El plugin de Formulario de Contacto por Fluent Forms para Quiz, Encuestas y Constructor de Formularios WP de Arrastrar y Soltar para WordPress es vulnerable a la escalada de privilegios debido a la falta de verificación de capacidades en el punto final /wp-json/fluentform/v1/managers de la API REST en todas las versiones hasta, e incluyendo, la 5.1.16. Esto permite a atacantes no autenticados otorgar a usuarios permisos de gestión de Formularios Fluent que les da acceso a todas las configuraciones y funciones del plugin. Esto también hace posible que atacantes no autenticados eliminen cuentas de gestor.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible. También es importante restringir el acceso al panel de administración de WordPress solo a usuarios confiables y utilizar medidas adicionales de seguridad como la autenticación de dos factores. Adicionalmente, se sugiere monitorear de cerca los registros de actividad del sitio en busca de actividad sospechosa.
Es crucial para los usuarios mantener sus plugins WordPress actualizados y seguir las mejores prácticas de seguridad para proteger sus sitios web de posibles vulnerabilidades y ataques cibernéticos.