El plugin Views for WPForms – Display & Edit WPForms Entries on your site frontend para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una comprobación de capacidad en la función ‘get_form_fields’ en todas las versiones hasta, incluyendo, la 3.2.2. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, crear vistas de formulario.
El plugin Views for WPForms es ampliamente utilizado para mostrar y editar las entradas de formularios de WPForms en el frontend de un sitio WordPress. Sin embargo, una vulnerabilidad ha sido descubierta en todas las versiones anteriores a la 3.2.2, que permite a usuarios autenticados con acceso de suscriptor o superior acceder de manera no autorizada a los datos del formulario.
La vulnerabilidad se produce debido a una falta de comprobación de capacidad en la función ‘get_form_fields’. Esta función debería requerir permisos de administrador para acceder a los campos del formulario, pero actualmente cualquier usuario autenticado con acceso de suscriptor o superior puede utilizarla. Esto significa que un atacante podría crear vistas de formulario para obtener datos sensibles de manera no autorizada.
Para subsanar este problema, se recomienda actualizar a la última versión del plugin Views for WPForms (3.2.3 o superior), donde se ha corregido esta vulnerabilidad. Además, se deben revisar y limitar los permisos de los usuarios en el sitio, asegurando que solo aquellos con privilegios necesarios tengan acceso a las funciones del backend del plugin.
La vulnerabilidad de falta de autorización en ‘get_form_fields’ del plugin Views for WPForms puede permitir a usuarios autenticados con acceso de suscriptor o superior obtener datos sensibles del formulario de manera no autorizada. Actualizar el plugin a la última versión y limitar los permisos de usuario son acciones importantes para prevenir posibles ataques y garantizar la seguridad de los datos del formulario en un sitio WordPress.
