La vulnerabilidad de Missing Authorization en el tema OceanWP para WordPress permite el acceso no autorizado a datos sensibles debido a la falta de una verificación de capacidad en la función load_theme_panel_pane en todas las versiones hasta, e incluyendo, la 3.5.4. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, expongan información sensible como datos del sistema/entorno y claves API.
La vulnerabilidad CVE-2024-2476 en OceanWP <= 3.5.4 se debe a la falta de comprobación de capacidad en una función específica, lo que permite a usuarios autenticados con ciertos niveles de acceso acceder a información que normalmente no deberían poder ver. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión de OceanWP tan pronto como esté disponible. Además, es importante revisar y ajustar adecuadamente los roles y permisos de los usuarios para limitar el acceso a funciones sensibles en el tema.
La importancia de mantener los temas y plugins de WordPress actualizados y revisar continuamente los roles y permisos de los usuarios es fundamental para protegerse contra vulnerabilidades como la exposición de información sensible en OceanWP <= 3.5.4.