Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de desactivación no autorizada en el plugin Multiline files upload for contact form 7 <= 2.8.1

El plugin Multiline files upload for contact form 7 para WordPress es vulnerable a la desactivación no autorizada debido a una falta de verificación de capacidad en la función mfcf7_zl_custom_handle_deactivation_plugin_form_submission() en todas las versiones hasta, e incluyendo, la 2.8.1. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, desactiven el plugin y envíen un motivo personalizado desde el sitio.

La vulnerabilidad CVE-2024-9891 en el plugin Multiline files upload for contact form 7 <= 2.8.1 permite a atacantes autenticados con roles de Suscriptor y superiores desactivar el plugin de forma no autorizada. Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión disponible del plugin, la cual debería incluir una corrección para esta vulnerabilidad. Además, se debe revisar de manera constante los permisos de los roles de usuario para asegurarse de que solo tengan acceso a las funcionalidades necesarias.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y realizar revisiones periódicas de seguridad para proteger sus sitios de posibles ataques. Al tomar medidas proactivas como estas, se puede reducir significativamente el riesgo de compromiso de la seguridad del sitio.

Related Article