El plugin de WordPress RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator es vulnerable a la actualización no autorizada de configuraciones debido a la falta de comprobación de permisos al actualizar las configuraciones en todas las versiones hasta, e incluyendo, la 4.3.2. Esto permite a atacantes autenticados, con acceso de nivel autor o superior, cambiar las configuraciones del plugin, incluyendo las configuraciones de proxy, que también están expuestas a los autores.
El plugin RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress es utilizado por muchos sitios web para mostrar contenido externo en sus páginas. Sin embargo, esta última vulnerabilidad puede llevar a una explotación por parte de atacantes autenticados que tengan acceso de nivel autor o superior.
El problema se encuentra en la falta de comprobación de permisos al actualizar las configuraciones del plugin. Esto significa que un atacante autenticado con acceso de nivel autor o superior puede cambiar las configuraciones del plugin a su antojo, incluyendo las configuraciones de proxy, que pueden exponer información sensible o incluso redirigir el tráfico a sitios maliciosos.
Para subsanar este problema, es recomendable actualizar a la última versión del plugin, la cual soluciona esta vulnerabilidad. Además, se sugiere limitar el acceso de los usuarios a niveles autor o inferior, y evitar el uso de proxies en la configuración del plugin si no es estrictamente necesario.
La falta de comprobación de permisos en el plugin RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator puede permitir a atacantes autenticados modificar las configuraciones del plugin, incluyendo las configuraciones de proxy. Para protegerse de esta vulnerabilidad, se recomienda actualizar el plugin y limitar el acceso de los usuarios a niveles autor o inferior.