El plugin The Post Grid – Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid para WordPress presenta una vulnerabilidad de Missing Authorization que permite a atacantes autenticados, con acceso de suscriptor o superior, modificar datos y ajustes del plugin de forma no autorizada.
La función rtTPGSaveSettings en todas las versiones hasta la 7.6.1 no realiza una comprobación de capacidades, lo que expone al plugin a posibles ataques de cambio de configuración y a la ejecución de otras funciones a través de acciones AJAX. Los usuarios afectados deben actualizar a la última versión disponible del plugin y estar atentos a futuras actualizaciones de seguridad. También se recomienda restringir el acceso de los usuarios con roles de suscriptor o superior para reducir el riesgo de explotación de esta vulnerabilidad.
Es fundamental mantener todos los plugins y temas de WordPress actualizados para protegerse de posibles vulnerabilidades de seguridad. Además, se debe limitar el acceso de los usuarios a funciones sensibles y realizar auditorías periódicas de seguridad para identificar y corregir posibles fallos en la configuración del sitio.