La vulnerabilidad en el plugin GS Insever Portfolio para WordPress permite a atacantes autenticados, con nivel de acceso de Suscriptor o superior, modificar los ajustes de CSS del plugin de forma no autorizada
La vulnerabilidad se encuentra en la función save_settings() en todas las versiones hasta la 1.4.5, donde no se realiza una verificación adecuada de la capacidad del usuario. Esto posibilita a atacantes autenticados con nivel de Suscriptor o superior, actualizar los ajustes de CSS del plugin de forma no autorizada. Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin tan pronto como esté disponible. Además, se recomienda a los usuarios revisar y restringir los permisos de los roles de usuario en WordPress para limitar el acceso a funcionalidades sensibles de los plugins.
Es fundamental para la seguridad de un sitio web WordPress mantener todos los plugins actualizados y revisar y ajustar los permisos de usuario de forma regular para evitar vulnerabilidades como la descrita en GS Insever Portfolio.