La vulnerabilidad CVE-2024-5860 denominada ‘Falta de Autorización’, afecta al plugin Tickera – WordPress Event Ticketing para WordPress. Esta vulnerabilidad permite la pérdida no autorizada de datos debido a la falta de comprobación de capacidad en la acción AJAX tc_dl_delete_tickets en todas las versiones hasta, e incluyendo, la 3.5.2.8. Esto posibilita que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen todos los tickets asociados a eventos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Tickera a la última versión disponible, en la cual se hayan corregido estos problemas de autorización. Además, se aconseja restringir el acceso a los roles de usuario en WordPress, de forma que solamente aquellos que realmente necesiten poder eliminar tickets tengan asignado este permiso.
Ante la vulnerabilidad de falta de autorización en Tickera <= 3.5.2.8, es esencial tomar las medidas necesarias para proteger los datos de los usuarios y evitar posibles pérdidas no autorizadas. Mantener todos los plugins y temas de WordPress actualizados es crucial para garantizar la seguridad de tu sitio web.