La vulnerabilidad CVE-2024-10537 en el plugin WP User Manager – User Profile Builder & Membership para WordPress permite acceso no autorizado a datos debido a la falta de una verificación de capacidad en la función validate_user_meta_key() en todas las versiones hasta, e incluyendo, la 2.9.11. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, enumeren las claves meta de usuarios.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin WP User Manager a la última versión disponible tan pronto como sea posible. Además, se sugiere monitorear de cerca las actividades de los usuarios con roles de Suscriptor y superiores para detectar cualquier comportamiento sospechoso. Es importante seguir las mejores prácticas de seguridad en WordPress, como utilizar contraseñas seguras y no compartir credenciales de acceso.
La falta de una verificación adecuada en la función validate_user_meta_key() del plugin WP User Manager – User Profile Builder & Membership puede poner en riesgo la seguridad de los datos de los usuarios. Al tomar medidas proactivas, como mantener el software actualizado y monitorear las actividades de los usuarios, se puede reducir el riesgo de explotación de esta vulnerabilidad.