El plugin LatePoint para WordPress es vulnerable a accesos no autorizados a datos y modificaciones de datos debido a la falta de una verificación de capacidades en la función ‘start_or_use_session_for_customer’ en todas las versiones hasta la 4.9.9. Esto permite a atacantes no autenticados ver los gabinetes de otros clientes, incluyendo la posibilidad de ver información personal como direcciones de correo electrónico y cambiar la contraseña de usuario de LatePoint, que puede o no estar asociada a una cuenta de WordPress.
Para subsanar este problema, los usuarios de LatePoint Plugin deben actualizar a la versión más reciente disponible, la cual debería contener una corrección para esta vulnerabilidad. Además, se recomienda implementar medidas de seguridad adicionales en WordPress, como configurar políticas de acceso a roles de usuario y realizar auditorías regulares de seguridad para detectar posibles vulnerabilidades.
Es crucial que los usuarios tomen medidas inmediatas para proteger sus datos sensibles y garantizar la seguridad de sus sistemas. La actualización oportuna de plugins y la adopción de buenas prácticas de seguridad son fundamentales para mitigar riesgos de ciberseguridad.