La vulnerabilidad Missing Authorization en el plugin Accessibility by AllAccessible para WordPress permite la modificación no autorizada de datos que puede resultar en una escalada de privilegios debido a la ausencia de una verificación de capacidad en la función ‘AllAccessible_save_settings’ en todas las versiones hasta, e incluyendo, la 1.3.4. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, actualizar opciones arbitrarias en el sitio de WordPress.
Esta vulnerabilidad puede ser explotada por atacantes para cambiar el rol por defecto para el registro a administrador y habilitar el registro de usuarios, lo que les daría acceso de usuario administrativo a un sitio vulnerable. Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se pueden implementar medidas de seguridad adicionales, como restringir el acceso a la función ‘AllAccessible_save_settings’ a roles de usuario de confianza y monitorear de cerca cualquier cambio en las opciones del sitio.
Es crucial que los administradores de sitios web de WordPress se mantengan al tanto de las actualizaciones de seguridad y tomen las medidas necesarias para proteger sus sitios de posibles vulnerabilidades como la identificada en Accessibility by AllAccessible <= 1.3.4.