La vulnerabilidad de ‘Improper Authorization’ en el plugin FooEvents for WooCommerce para WordPress permite la subida de archivos arbitrarios sin autorización debido a una configuración incorrecta de capacidades en la función ‘display_ticket_themes_page’ en versiones hasta, e incluyendo, la 1.19.20. Esto permite a atacantes autenticados con capacidades de contribuidor o superiores, subir archivos arbitrarios en el servidor del sitio afectado, lo que podría permitir la ejecución de código remoto. Esto fue parcialmente parcheado en la versión 1.19.20, y totalmente parcheado en la versión 1.19.21.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin FooEvents for WooCommerce a la versión 1.19.21 lo antes posible para mitigar el riesgo de explotación. Adicionalmente, se recomienda restringir el acceso de los roles de usuario en WordPress para minimizar el impacto de posibles ataques. Es importante estar atento a las actualizaciones de seguridad de los plugins utilizados en WordPress y revisar periódicamente los ajustes de seguridad de la plataforma.
Es fundamental tomar medidas proactivas para proteger los sitios web en WordPress y mantener los plugins actualizados para evitar posibles vulnerabilidades de seguridad. La pronta actualización del plugin FooEvents for WooCommerce a la versión 1.19.21 ayudará a mantener la integridad de los sitios afectados frente a posibles ataques de subida de archivos arbitrarios sin autorización.