El plugin UserPlus para WordPress es vulnerable a la modificación no autorizada de datos debido a una comprobación de capacidad inadecuada en la función ‘save_metabox_form’ en las versiones hasta, e incluyendo, la 2.0. Esto permite que atacantes autenticados, con permisos de editor o superiores, actualicen el rol del formulario de registro a administrador, lo que conlleva a una escalada de privilegios.
La vulnerabilidad CVE-2024-9519 en el plugin UserPlus puede ser explotada por atacantes autenticados con permisos de editor o superiores para modificar los roles en el formulario de registro y elevar sus privilegios a administrador. Para mitigar esta vulnerabilidad, es recomendable actualizar el plugin a la última versión disponible y limitar los permisos de los usuarios para evitar que tengan acceso a funciones sensibles como la modificación de roles.
Es fundamental mantener todos los plugins de WordPress actualizados y restringir los permisos de los usuarios para reducir el riesgo de escalada de privilegios como el que presenta el plugin UserPlus <= 2.0. La seguridad en WordPress es responsabilidad de todos los usuarios, por lo que es importante tomar medidas proactivas para proteger los sitios web.