El plugin WPFront User Role Editor para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta, e incluyendo, la 3.2.1.11184 a través de la acción AJAX wpfront_user_role_editor_assign_roles_user_autocomplete. Esto permite que atacantes autenticados, con acceso a nivel de suscriptor y superior, extraigan una lista de todas las direcciones de correo electrónico de los usuarios registrados en el sitio.
La vulnerabilidad CVE-2024-2931 en el plugin WPFront User Role Editor permite a usuarios autenticados con roles de suscriptor y superiores acceder a información sensible, como las direcciones de correo electrónico de todos los usuarios registrados en el sitio. Esto podría tener consecuencias negativas en términos de privacidad y seguridad de los datos de los usuarios. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso la 3.2.2 o posterior. Además, se sugiere restringir el acceso de roles de usuario a funciones y acciones sensibles dentro de WordPress para limitar la exposición de información sensible.
Es crucial que los usuarios de WordPress estén al tanto de las vulnerabilidades en los plugins que utilizan y tomen medidas proactivas para proteger la información sensible de sus sitios. Mantener todos los plugins y temas actualizados, así como limitar los permisos de los roles de usuario, son pasos fundamentales para mejorar la seguridad de un sitio web WordPress.