El plugin RSS Aggregator – RSS Import, News Feeds, Feed to Post, y Autoblogging para WordPress presenta una vulnerabilidad de autorización insuficiente en la función wprss_ajax_send_premium_support en versiones hasta la 4.23.12. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor o superior, enviar solicitudes de soporte premium con un asunto y dirección de correo electrónico controlados por el atacante a soporte, lo que les permite suplantar al propietario del sitio. La información de la licencia también podría filtrarse.
La falta de una verificación de capacidades en la función wprss_ajax_send_premium_support dentro del plugin RSS Aggregator para WordPress crea una vulnerabilidad que podría ser explotada por atacantes autenticados. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, es importante revisar regularmente los permisos de los usuarios en el sitio y limitar el acceso solo a aquellos que realmente lo necesitan para evitar posibles abusos de funciones.
Es crucial que los administradores de sitios web en WordPress estén al tanto de las vulnerabilidades en plugins como RSS Aggregator – RSS Import, News Feeds, Feed to Post, y Autoblogging. Mantener actualizados los plugins y limitar los permisos de los usuarios son medidas clave para proteger la seguridad de tu sitio. La falta de autorización es un problema grave que puede ser explotado por atacantes, por lo que se recomienda actuar con prontitud para corregir esta vulnerabilidad.