El plugin User Registration – Formulario de Registro Personalizado, Formulario de Inicio de Sesión y Perfil de Usuario para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función ‘import_form_action’ en versiones hasta, e incluyendo, la 3.2.0.1. Esto permite a atacantes autenticados, con permisos de nivel contribuyente y superiores, importar un formulario de registro con un rol de usuario predeterminado de administrador. Si un administrador aprueba o publica una publicación o página con el shortcode al formulario importado, cualquier usuario puede registrarse como administrador.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la versión 3.2.0.2 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar periódicamente los permisos y roles de los usuarios en el sitio web para evitar posibles escaladas de privilegios. Mantener siempre actualizados los plugins y temas instalados también es una buena práctica de seguridad.
Es importante tomar medidas proactivas para proteger la seguridad de tu sitio web en WordPress, manteniendo todos los componentes actualizados y revisando regularmente los permisos de los usuarios. Con la actualización adecuada del plugin User Registration, los usuarios pueden mitigar el riesgo de escalada de privilegios en sus sitios web.