El plugin WP Testimonial Widget para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función fnSaveTestimonailOrder en todas las versiones hasta, e incluyendo, la 3.0. Esto hace posible que atacantes no autenticados modifiquen el orden de los testimonios.
La vulnerabilidad CVE-2024-7390 en el plugin WP Testimonial Widget se debe a la falta de una adecuada comprobación de capacidades en la función fnSaveTestimonailOrder. Esto permite a un atacante sin autenticar cambiar el orden de los testimonios, lo que puede afectar la integridad de la información mostrada en el sitio web. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se aconseja mantener un seguimiento de las actualizaciones de seguridad de los plugins instalados y limitar el acceso a funciones sensibles a usuarios autorizados solamente.
Es crucial que los administradores de sitios web que utilicen el plugin WP Testimonial Widget actualicen a la última versión disponible para protegerse contra esta vulnerabilidad de autorización ausente. Mantener los plugins actualizados y restringir el acceso a funciones sensibles son buenas prácticas para mantener la seguridad de un sitio WordPress.