El plugin ProfileGrid – Perfiles de Usuario, Grupos y Comunidades para WordPress es vulnerable a Referencia Directa de Objeto Insegura en todas las versiones hasta, e incluyendo, la 5.8.9 a través de la función ‘pm_upload_image’ debido a la falta de validación en una clave controlada por el usuario. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, cambiar la imagen de perfil de cualquier usuario.
La vulnerabilidad CVE-2024-6410 en el plugin ProfileGrid permite a los atacantes autenticados sortear la autorización y cambiar la imagen de perfil de cualquier usuario. Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se debe monitorear de cerca las actualizaciones de seguridad y parches proporcionados por el desarrollador para protegerse contra posibles vulnerabilidades en el futuro.
Es crucial que los administradores de sitios web que utilicen el plugin ProfileGrid tomen medidas inmediatas para protegerse contra posibles ataques de Referencia Directa de Objeto Insegura. Mantener el software actualizado y estar al tanto de las actualizaciones de seguridad es fundamental para garantizar la integridad y seguridad de un sitio web en WordPress.