El plugin ACF On-The-Go para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función acfg_update_fields() en todas las versiones hasta, e incluyendo, la 1.0.1. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar títulos de publicaciones arbitrarias, descripciones y valores de ACF.
Esta vulnerabilidad CVE-2024-3071 pone en riesgo la integridad de los datos en sitios web que utilizan el plugin ACF On-The-Go. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible lo antes posible. Además, es importante restringir el acceso a roles de usuario con privilegios mínimos necesarios para reducir la superficie de ataque. Se debe supervisar de cerca cualquier actividad sospechosa en el sitio y tomar medidas proactivas para proteger la seguridad de los datos.
La falta de autorización en la actualización de contenido en ACF On-The-Go es una vulnerabilidad crítica que puede ser explotada por atacantes autenticados. Al seguir buenas prácticas de seguridad, como mantener los plugins actualizados y limitar el acceso de los usuarios, es posible reducir el riesgo de exposición a esta amenaza.