El plugin MailerLite – Signup forms (official) para WordPress es vulnerable a cambios no autorizados en la configuración del plugin debido a la falta de comprobación de capacidades en las funciones toggleRolesAndPermissions y editAllowedRolesAndPermissions en todas las versiones hasta, e incluyendo, 1.7.6. Esto permite que atacantes no autenticados permitan a usuarios de nivel inferior modificar formularios.
Es importante que los usuarios afectados por esta vulnerabilidad actualicen de inmediato el plugin a la última versión disponible, en este caso, a la versión 1.7.7 o posterior. Además, se recomienda restringir el acceso al panel de administración de WordPress solo a usuarios de confianza y revisar constantemente los permisos asignados a cada usuario para evitar posibles cambios no autorizados en la configuración de los plugins.
La falta de autorización en el plugin MailerLite – Signup forms (official) hasta la versión 1.7.6 representa un riesgo de seguridad significativo para los sitios web de WordPress. Siguiendo las recomendaciones mencionadas, los usuarios pueden reducir la posibilidad de explotación de esta vulnerabilidad y mantener la integridad de sus formularios de manera más efectiva.