La vulnerabilidad de autorización faltante en el plugin MultiVendorX – La Solución Definitiva para Marketplace Multivendor de WooCommerce para WordPress permite a atacantes autenticados enviar un correo electrónico solicitando la eliminación del perfil de un vendedor arbitrario.
La vulnerabilidad CVE-2024-9531 se debe a la falta de comprobación de capacidad en la función ‘mvx_sent_deactivation_request’ en todas las versiones hasta, e incluyendo, la versión 4.2.4. Esto significa que usuarios autenticados con acceso de nivel Suscriptor y superior pueden enviar un correo electrónico predefinido al administrador del sitio solicitando la eliminación del perfil de un vendedor arbitrario. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y restringir los privilegios de los roles de usuario para limitar la capacidad de enviar correos electrónicos de esta naturaleza.
Es fundamental para los usuarios de MultiVendorX – La Solución Definitiva para Marketplace Multivendor de WooCommerce estar al tanto de esta vulnerabilidad y tomar medidas para proteger sus sitios. Mantener el plugin actualizado y restringir adecuadamente los privilegios de usuario son pasos importantes para evitar que los atacantes aprovechen esta vulnerabilidad.