Recopilación de vulnerabilidades WordPress.

Vulnerabilidad en plugin WP Timetics que permite eliminación de usuarios arbitrarios

El plugin WP Timetics- Calendario de Reservas y Programación en línea, basado en inteligencia artificial, presenta una vulnerabilidad que permite a atacantes autenticados eliminar usuarios de forma arbitraria, comprometiendo la seguridad de los datos.

La vulnerabilidad identificada como CVE-2024-11275 se debe a la falta de verificación de capacidades en el punto final /wp-json/timetics/v1/customers/ de la API REST. Esta vulnerabilidad existe en todas las versiones del plugin hasta la 1.0.27, lo que facilita a los atacantes autenticados con acceso de Cliente Timetics o superior, la eliminación de usuarios arbitrarios del sistema.
Para mitigar esta vulnerabilidad, es recomendable actualizar el plugin WP Timetics a la última versión disponible y limitar los privilegios de los usuarios, garantizando que solo aquellos autorizados tengan acceso a funciones de eliminación de usuarios.

Related Article