La vulnerabilidad CVE-2024-1170, conocida como ‘Missing Authorization’, afecta al plugin de WordPress Post Form – Registration Form – Profile Form for User Profiles – Frontend Content Forms for User Submissions (UGC) hasta la versión 2.8.7. Esta vulnerabilidad permite a atacantes no autenticados eliminar archivos multimedia de forma no autorizada.
El problema radica en la función handle_deleted_media del plugin, la cual no realiza una verificación de capacidad adecuada antes de permitir la eliminación de archivos multimedia. Esto significa que cualquier atacante no autenticado podría eliminar archivos multimedia arbitrarios de un sitio WordPress afectado. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible. Además, se debe restringir el acceso no autorizado al área de administración de WordPress y se deben implementar medidas de seguridad adicionales, como el uso de plugins de seguridad y la configuración de permisos adecuados para los usuarios.
La vulnerabilidad de autorización faltante en el plugin de formularios de WordPress representa un riesgo significativo para la integridad y disponibilidad de los archivos multimedia de un sitio web. Es fundamental que los administradores de sitios WordPress tomen medidas inmediatas para mitigar esta vulnerabilidad y proteger la seguridad de su sitio.