El plugin Ultimate WordPress Auction Plugin para WordPress es vulnerable a la creación y envío de correos electrónicos no autorizados debido a la falta de verificación de capacidad en las funciones ‘send_auction_email_callback’ y ‘resend_auction_email_callback’ en todas las versiones hasta, e incluyendo, la 4.2.6. Esto permite a atacantes no autenticados crear correos electrónicos que incluyan enlaces y enviarlos a cualquier dirección de correo electrónico.
Los usuarios afectados por esta vulnerabilidad deben actualizar su versión del plugin a la versión 4.2.7 o superior para corregir el problema. También se recomienda verificar la configuración de permisos y roles de usuario en WordPress para limitar el acceso a las funciones de envío de correos electrónicos. Además, se aconseja a los usuarios estar atentos a posibles correos electrónicos sospechosos que puedan recibir y no hacer clic en enlaces no solicitados.
Mantener actualizados los plugins de WordPress y verificar regularmente la seguridad de los mismos es crucial para prevenir vulnerabilidades como la descrita en este artículo.