El plugin ProfileGrid – Perfiles de Usuario, Grupos y Comunidades para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en las funciones pm_dismissible_notice y pm_wizard_update_group_icon en todas las versiones hasta, e incluyendo, la 5.8.6. Esto permite a atacantes autenticados, con acceso a nivel de Suscriptor y superior, cambiar opciones arbitrarias al valor ‘1’ o cambiar los iconos de grupo.
Los usuarios afectados por esta vulnerabilidad deben asegurarse de actualizar a la última versión del plugin lo antes posible para mitigar el riesgo de ataques. Además, se recomienda revisar y limitar los permisos de los roles de usuario en WordPress para evitar que usuarios no autorizados realicen cambios en los perfiles, grupos o comunidades.
Es crucial mantener todos los plugins y temas de WordPress actualizados para proteger tu sitio web contra vulnerabilidades conocidas. En este caso específico, la falta de autorización en ProfileGrid puede ser explotada por atacantes con privilegios de Suscriptor o superior, por lo que es fundamental tomar medidas preventivas para proteger la integridad de tus datos y la seguridad de tus usuarios.