La vulnerabilidad en el plugin WP Crowdfunding para WordPress permite la instalación no autorizada de plugins debido a la falta de verificación de capacidad en la acción install_woocommerce_plugin() en todas las versiones hasta, e incluyendo, la 2.1.12. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, instalen WooCommerce. Esto tiene un impacto limitado en la mayoría de los sitios porque WooCommerce es un requisito.
La falta de autorización en la función install_woocommerce_plugin() del plugin WP Crowdfunding hasta la versión 2.1.12 permite a usuarios autenticados, incluso con un nivel de acceso Subscriber, instalar WooCommerce. Esto significa que los atacantes podrían aprovechar esta vulnerabilidad para instalar plugins no deseados o maliciosos en un sitio web de WordPress sin permiso del administrador. Para subsanar este problema, se recomienda actualizar a la última versión del plugin WP Crowdfunding lo antes posible.
Es crucial para la seguridad de su sitio web WordPress mantener todos los plugins y temas actualizados constantemente, para mitigar el riesgo de posibles vulnerabilidades. En este caso específico, es importante actualizar WP Crowdfunding a la última versión para corregir la vulnerabilidad de autorización faltante.