El plugin Product Expiry for WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidades en la función ‘save_settings’ en las versiones hasta, e incluyendo, la 2.5. Esto permite que atacantes autenticados, con permisos de nivel suscriptor o superiores, actualicen la configuración del plugin.
La vulnerabilidad de autorización faltante presente en la versión 2.5 y anteriores del plugin Product Expiry for WooCommerce para WordPress permite a atacantes autenticados, con permisos de nivel suscriptor o superiores, modificar la configuración del plugin de forma no autorizada. Esto significa que un atacante puede realizar cambios en la configuración del plugin sin tener los permisos necesarios.
Para subsanar este problema de seguridad, se recomienda a los usuarios actualizar el plugin a la última versión disponible. La versión más reciente del plugin Product Expiry for WooCommerce contiene una corrección para esta vulnerabilidad de autorización faltante.
Además, se sugiere evaluar los permisos de los roles de usuario asignados en el sitio WordPress. Limitar los permisos de los usuarios a los necesarios puede ayudar a mitigar el riesgo de un ataque aprovechando esta vulnerabilidad.
La vulnerabilidad de autorización faltante en el plugin Product Expiry for WooCommerce <= 2.5 puede permitir a atacantes autenticados, con permisos de nivel suscriptor o superiores, modificar la configuración del plugin de forma no autorizada. Para protegerse, es importante actualizar el plugin a la versión más reciente y revisar los permisos de usuario en el sitio WordPress.