El plugin WP Dark Mode – WordPress Dark Mode Plugin for Improved Accessibility, Dark Theme, Night Mode, and Social Sharing para WordPress presenta una vulnerabilidad en la versión hasta 5.0.4 que permite a atacantes autenticados, con acceso de nivel Suscriptor o superior, modificar los ajustes del plugin de forma no autorizada.
La vulnerabilidad CVE-2024-5449 en el plugin WP Dark Mode radica en la falta de comprobación de la capacidad necesaria en la función wpdm_social_share_save_options. Esto significa que usuarios autenticados con permisos de Suscriptor o superiores pueden actualizar los ajustes del plugin sin autorización, lo que podría llevar a la modificación no deseada de datos.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin WP Dark Mode a la versión más reciente disponible. Además, es importante restringir el acceso de los usuarios a roles que requieran una autorización más elevada para evitar posibles ataques.
Es fundamental mantener actualizados todos los plugins de WordPress y seguir las mejores prácticas de seguridad para protegerse contra posibles vulnerabilidades como la citada en el plugin WP Dark Mode. La corrección oportuna y la limitación de los permisos de usuario pueden ayudar a reducir el riesgo de ataques en el entorno de WordPress.