La vulnerabilidad ‘Missing Authorization’ en el plugin Restaurant Menu and Food Ordering para WordPress permite la creación no autorizada de datos debido a la falta de una verificación de capacidad en las funciones ‘add_section’, ‘add_menu’, ‘add_menu_item’ y ‘add_menu_page’ en todas las versiones hasta, e incluyendo, la 2.4.16. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor o superior, crear secciones de menú, menús, elementos de comida y nuevas páginas de menú.
La falta de autorización en estas funciones puede ser explotada por atacantes autenticados para crear y modificar menús y páginas de menú sin permiso, lo que podría conducir a que se muestre contenido malicioso o engañoso en el sitio web. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Restaurant Menu and Food Ordering a la última versión disponible, la cual debería corregir esta falla de seguridad. Además, se les insta a supervisar de cerca las actividades en el panel de administración y revocar los privilegios de usuarios sospechosos.
Es crucial que los propietarios de sitios web que utilizan el plugin Restaurant Menu and Food Ordering actúen de inmediato para proteger sus sitios de posibles ataques aprovechando esta vulnerabilidad. Mantener los plugins actualizados y seguir las mejores prácticas de seguridad en WordPress ayudará a prevenir brechas de seguridad y proteger la integridad de los datos de los usuarios.