El complemento HelloAsso para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función ‘ha_ajax’ en todas las versiones hasta, e incluyendo, la 1.1.10. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, actualizar opciones del complemento, potencialmente interrumpiendo el servicio.
La falta de autorización en el complemento HelloAsso significa que usuarios autenticados con roles de Contribuidor o superiores pueden modificar opciones del plugin sin tener los permisos adecuados. Para mitigar este problema, se recomienda a los usuarios actualizar a la última versión del complemento tan pronto como esté disponible. Además, se puede considerar restringir los roles de usuario con acceso al panel de administración para limitar la exposición a posibles ataques.
Es crucial mantener los complementos de WordPress actualizados para protegerse contra vulnerabilidades de seguridad conocidas. Al tomar medidas proactivas, los usuarios pueden reducir el riesgo de explotación y garantizar la integridad de sus sitios web.