La vulnerabilidad identificada en el complemento Uncanny Groups for LearnDash para WordPress se debe a la falta de una comprobación de capacidades en el punto final /wp-json/ulgm_management/v1/add_user/ de la API REST en todas las versiones hasta, e incluyendo, la 6.1.0.1. Esto permite a atacantes autenticados, con acceso de nivel de líder de grupo y superior, agregar usuarios a su grupo, lo que les permite aprovechar CVE-2024-8349 y obtener acceso de administrador al sitio.
Los usuarios afectados por esta vulnerabilidad deben tomar medidas inmediatas para proteger su sitio. Se recomienda actualizar el complemento Uncanny Groups for LearnDash a la última versión disponible y revisar los permisos de usuario para garantizar que solo los roles con la autorización adecuada puedan realizar acciones que involucren la adición de usuarios a grupos. También es aconsejable monitorear de cerca cualquier actividad sospechosa en el sitio para detectar posibles intentos de explotación de esta vulnerabilidad.
Es fundamental que los administradores de sitios web de WordPress estén al tanto de las vulnerabilidades en los complementos utilizados y tomen medidas proactivas para proteger sus sitios y datos. Al seguir las recomendaciones de seguridad mencionadas anteriormente, los usuarios pueden mitigar el riesgo de ser víctimas de posibles ataques aprovechando esta vulnerabilidad en Uncanny Groups for LearnDash.