El plugin affiliate-toolkit – WordPress Affiliate Plugin para WordPress es vulnerable a acceso no autorizado debido a la falta de verificación de capacidades en la función atkp_import_product() en todas las versiones hasta, e incluyendo, la 3.5.4. Esto permite que atacantes autenticados, con acceso de nivel suscriptor o superior, realicen acciones no autorizadas como crear productos de importación.
La vulnerabilidad identificada como CVE-2024-2298 en el plugin affiliate-toolkit – WordPress Affiliate Plugin hasta la versión 3.5.4 permite a usuarios autenticados con privilegios de nivel suscriptor o superior realizar acciones no autorizadas a través de la función atkp_import_product(). Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a una versión corregida tan pronto como esté disponible. Además, se sugiere no otorgar privilegios de administrador a usuarios no confiables y monitorear de cerca las actividades dentro del sitio web para detectar comportamientos inusuales que podrían indicar una posible explotación de esta vulnerabilidad.
Es fundamental que los usuarios del plugin affiliate-toolkit – WordPress Affiliate Plugin actualicen a la última versión disponible y mantengan una política de mínimos privilegios para reducir el riesgo de explotación de esta vulnerabilidad de falta de autorización.