El plugin Button Block – Get fully customizable & multi-functional buttons para WordPress es vulnerable a la Divulgación de Información Sensible en todas las versiones hasta, e incluyendo, la 1.1.5 a través de la función ‘btn_block_duplicate_post’. Esto permite a atacantes autenticados, con acceso de Nivel Contribuidor y superior, extraer datos potencialmente sensibles de publicaciones en borrador, programadas (futuras), privadas y protegidas con contraseña.
La vulnerabilidad identificada en el plugin Button Block implica que usuarios maliciosos con ciertos niveles de acceso pueden acceder a información confidencial de publicaciones que normalmente estarían restringidas. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en la cual se haya corregido esta vulnerabilidad. Además, se aconseja a los administradores de sitios web limitar los permisos de los roles de usuario, asegurándose de que solo aquellos realmente necesarios tengan acceso a la función ‘btn_block_duplicate_post’. Realizar una revisión periódica de los usuarios y sus roles en el sitio WordPress también puede ayudar a detectar y prevenir posibles brechas de seguridad.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para protegerse contra posibles vulnerabilidades. La divulgación de información sensible a actores no autorizados es un riesgo que debe abordarse de manera proactiva y constante en entornos en línea.