La vulnerabilidad ‘Missing Authorization’ en el plugin Order Attachments for WooCommerce para WordPress permite a atacantes autenticados, con acceso de suscriptor y superior, cargar tipos de archivos limitados de forma arbitraria debido a la falta de una comprobación de capacidades en la acción AJAX wcoa_add_attachment en las versiones 2.0 a 2.4.1.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del plugin, en la que se ha aplicado el parche correspondiente. Además, se recomienda restringir el acceso a la administración de WordPress solo a usuarios de confianza y monitorizar de cerca cualquier actividad sospechosa en el sitio web.
Es fundamental mantener siempre actualizados los plugins y temas de WordPress, así como seguir buenas prácticas de seguridad en la gestión de usuarios y permisos para prevenir posibles vulnerabilidades como esta en el futuro.