En este reporte de seguridad, se ha identificado una vulnerabilidad en el complemento de WordPress Woostify Sites Library. Esta vulnerabilidad, identificada como CVE-2023-6279, permite a usuarios autenticados actualizar opciones de blogs arbitrarios y establecerlos como ‘activados’, lo que podría llevar a un ataque de denegación de servicio (DoS) cuando se utiliza un nombre de opción específico.
El complemento Woostify Sites Library antes de la versión 1.4.8 no cuenta con autorización en una acción AJAX, lo que permite a cualquier usuario autenticado, como un suscriptor, actualizar opciones de blog arbitrarias y establecerlas como ‘activadas’. Esto puede conducir a un ataque de denegación de servicio cuando se utiliza un nombre de opción específico.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios seguir las siguientes soluciones:
1. Actualizar el complemento: Se debe verificar si existe una versión actualizada del complemento Woostify Sites Library. Si hay una actualización disponible, se recomienda instalarla de inmediato para corregir la vulnerabilidad.
2. Limitar los permisos de usuario: Los administradores de WordPress deben revisar y restringir los permisos de usuario para evitar que usuarios no autorizados realicen acciones no deseadas.
3. Monitorizar los registros de actividad: Se recomienda habilitar y revisar de manera regular los registros de actividad de WordPress para detectar cualquier actividad sospechosa o intentos de explotación de vulnerabilidades.
La vulnerabilidad de autorización faltante en el complemento Woostify Sites Library puede ser utilizada por usuarios autenticados para realizar acciones no autorizadas en un sitio WordPress. Es crucial que los usuarios apliquen las soluciones mencionadas anteriormente para proteger sus sitios y prevenir cualquier posible ataque o explotación de esta vulnerabilidad.