La vulnerabilidad de ‘Missing Authorization’ en el plugin InstaWP Connect – 1-click WP Staging & Migration para WordPress permite a atacantes no autenticados conectarse al sitio a través de la API de InstaWP, editar opciones del sitio de forma arbitraria y crear cuentas de administrador.
El plugin InstaWP Connect – 1-click WP Staging & Migration hasta la versión 0.1.0.38 no realiza correctamente la verificación de autorización en las llamadas a la API REST. Esto significa que cualquier usuario no autenticado puede realizar acciones como conectar el sitio a la API de InstaWP, modificar opciones arbitrarias del sitio y crear cuentas de administrador sin tener los permisos necesarios. Para subsanar este problema, se recomienda actualizar el plugin a la última versión disponible lo antes posible. También se aconseja restringir el acceso a la API REST únicamente a usuarios autenticados y limitar los permisos de los usuarios en función de sus roles.
Es fundamental mantener actualizados todos los plugins y temas en WordPress para protegerse contra vulnerabilidades como la de ‘Missing Authorization’ en el plugin InstaWP Connect. Además, es importante seguir buenas prácticas de seguridad, como restringir el acceso a las API y limitar los permisos de los usuarios, para minimizar el riesgo de ataques.