La vulnerabilidad CVE-2024-0766 en el plugin Envo’s Elementor Templates & Widgets for WooCommerce para WordPress permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función templates_ajax_request en todas las versiones hasta, e incluyendo, la 1.4.4. Esto hace posible que suscriptores y roles superiores creen plantillas.
Los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible lo antes posible para corregir esta falta de autorización. Además, se recomienda a los administradores del sitio revisar y limitar los roles y permisos de los usuarios para reducir el riesgo de accesos no autorizados. También se sugiere monitorizar regularmente cualquier actividad sospechosa en el sitio para detectar posibles compromisos de seguridad de forma temprana.
Es fundamental mantener siempre actualizados los plugins y temas de WordPress para protegerse contra vulnerabilidades conocidas y corregidas. La falta de una adecuada autorización puede conducir a serios problemas de seguridad en el sitio, por lo que es importante tomar las medidas necesarias para mitigar este riesgo.