En este informe de seguridad, revelamos una vulnerabilidad presente en la versión 1.3.87 y anteriores del plugin Royal Elementor Addons and Templates para WordPress. Esta vulnerabilidad, identificada con el ID CVE-2024-0516, consiste en una falta de autorización en la función wpr_update_form_action_meta, lo que permite a atacantes sin autenticar actualizar ciertos metadatos del sitio.
La falta de una comprobación adecuada de capacidades en la función wpr_update_form_action_meta del plugin Royal Elementor Addons and Templates permite a atacantes sin autenticar realizar actualizaciones de metadatos sin restricciones. Esto significa que los atacantes pueden manipular los datos almacenados en ciertos metadatos del sitio, lo que puede conducir a una variedad de problemas de seguridad, como la modificación de contenido, el robo de información confidencial o la ejecución de ataques de suplantación de identidad (CSRF).
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar su versión del plugin Royal Elementor Addons and Templates a la versión más reciente disponible. Además, se sugiere implementar buenas prácticas de seguridad, como mantener actualizado el software, utilizar contraseñas fuertes y realizar copias de seguridad regulares del sitio web. Al seguir estas medidas de seguridad, los usuarios pueden reducir la posibilidad de ser afectados por esta vulnerabilidad y mantener sus sitios web seguros.