El plugin Cost Calculator Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en las funciones ’embed-create-page’ y ’embed-insert-pages’ en todas las versiones hasta, e incluyendo, la 3.2.12. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, crear publicaciones arbitrarias y agregar contenido arbitrario a publicaciones existentes.
La vulnerabilidad CVE-2024-6012 en Cost Calculator Builder <= 3.2.12 se debe a la falta de control de capacidades en ciertas funciones del plugin, lo que posibilita a usuarios autenticados con roles de Suscriptor y superiores realizar acciones que no les corresponden. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la cual se han implementado correcciones para esta vulnerabilidad. Además, es aconsejable revisar los roles y permisos de los usuarios en WordPress para limitar las acciones que pueden realizar.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para evitar posibles vulnerabilidades de seguridad. En el caso específico de Cost Calculator Builder <= 3.2.12, la aplicación de la última actualización disponible es crucial para proteger los sitios web de posibles ataques de creación de contenido arbitrario por parte de usuarios autenticados con privilegios. La seguridad en WordPress es responsabilidad de todos los involucrados en la gestión de un sitio web, y la prevención de vulnerabilidades es una tarea constante y necesaria.