El plugin Smush para WordPress es vulnerable a la eliminación no autorizada de la lista de resmush debido a la falta de una comprobación de capacidad en la función delete_resmush_list(). Esto permite a atacantes autenticados, con permisos mínimos como un suscriptor, eliminar la lista de resmush para Nextgen o la Biblioteca Multimedia.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin Smush a la última versión disponible lo antes posible. Además, se recomienda a los administradores de sitios web que revisen y limiten los permisos de los roles de usuario para evitar que usuarios no autorizados realicen cambios en la lista de resmush. También se sugiere monitorear de cerca cualquier actividad sospechosa en la lista de resmush para detectar y mitigar posibles intentos de eliminación no autorizada.
Es crucial que los usuarios y administradores de sitios web tomen medidas proactivas para proteger sus sitios de posibles vulnerabilidades como la que afecta al plugin Smush. Mantener todos los plugins y temas actualizados, revisar y gestionar los permisos de los usuarios, y monitorear de cerca cualquier actividad sospechosa son prácticas recomendadas para mantener la seguridad de un sitio WordPress.