Recopilación de vulnerabilidades WordPress.

Pubnews <= 1.0.7 – Instalación de complementos arbitrarios sin autenticación

La vulnerabilidad en el tema Pubnews para WordPress permite la instalación de complementos arbitrarios sin autenticación, lo que puede ser explotado por atacantes autenticados para comprometer la seguridad del sitio.

La versión 1.0.7 y anteriores del tema Pubnews para WordPress carece de una verificación de capacidades en la función pubnews_importer_plugin_action_for_notice(), lo que facilita la instalación de complementos arbitrarios por atacantes autenticados con privilegios de nivel Suscriptor o superior. Esto representa un riesgo de seguridad significativo, ya que los complementos maliciosos pueden utilizarse para aprovechar vulnerabilidades adicionales en el sistema.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar inmediatamente el tema Pubnews a una versión corregida. Además, se aconseja revisar periódicamente los permisos de los usuarios y limitar el acceso de aquellos con roles de baja jerarquía para reducir el riesgo de compromisos de seguridad.

Related Article