El plugin Buy one click WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la acción removeorder AJAX en todas las versiones hasta, e incluyendo, la 2.2.9. Esto permite que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen órdenes de compra de Buy one click WooCommerce.
La vulnerabilidad CVE-2024-10853 en el plugin Buy one click WooCommerce <= 2.2.9 permite a usuarios autenticados con roles de Suscriptor o superiores eliminar órdenes de compra de forma no autorizada. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a una versión más reciente que contenga la corrección de esta vulnerabilidad. Además, se debe limitar el acceso de los roles de usuario a funciones que puedan afectar la integridad de los datos del sitio, como la capacidad de eliminar órdenes.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para reducir el riesgo de exposición a vulnerabilidades de seguridad conocidas. En el caso del plugin Buy one click WooCommerce, se debe tener especial cuidado con los roles de usuario con privilegios elevados, como los Suscriptores, para evitar posibles acciones malintencionadas de eliminación de órdenes.