La vulnerabilidad en el plugin LadiApp para WordPress, identificada con el ID CVE-2023-4728, permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función publish_lp() enganchada a través de una acción AJAX en versiones hasta, e incluyendo, la 4.4. Esto permite a atacantes autenticados con acceso de nivel suscriptor y superior cambiar la clave de LadiPage (una clave totalmente controlada por el atacante), lo que les permite crear libremente nuevas páginas, incluidas páginas web que desencadenan XSS almacenado.
Los usuarios afectados por esta vulnerabilidad en el plugin LadiApp de WordPress deben tomar medidas inmediatas para proteger sus sitios. Se recomienda actualizar el plugin a la versión más reciente disponible que haya solucionado este problema. Además, se debe realizar una revisión exhaustiva de los usuarios con privilegios en el sitio para asegurarse de que no haya cuentas comprometidas que puedan explotar esta vulnerabilidad. Además, considerar la implementación de medidas adicionales de seguridad, como el uso de Firewalls de aplicaciones web y la monitorización constante del tráfico del sitio para detectar posibles intentos de explotación de esta vulnerabilidad.
La falta de autorización en la función publish_lp() del plugin LadiApp para WordPress representa un riesgo significativo para la seguridad de los sitios web. Los propietarios de sitios afectados deben tomar medidas inmediatas para mitigar esta vulnerabilidad y proteger sus datos y la integridad de sus sitios.