El plugin WP Force SSL & HTTPS SSL Redirect para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función ‘ajax_save_setting’ en versiones hasta e incluyendo la 1.66. Esto permite a atacantes autenticados, con permisos de nivel suscriptor o superior, actualizar la configuración del plugin.
El problema reside en la falta de una comprobación adecuada de capacidades al procesar las solicitudes de actualización de configuraciones en el plugin. Los atacantes autenticados pueden aprovechar esta vulnerabilidad para modificar la configuración del plugin, lo que podría llevar a consecuencias negativas para el sitio web afectado. Para subsanar este problema, los usuarios afectados deben actualizar cuanto antes el plugin a una versión parcheada que corrija esta vulnerabilidad. Además, se recomienda limitar el acceso a los roles de usuario dentro de WordPress, asegurando que solo aquellos que necesiten realizar cambios en la configuración tengan los permisos correspondientes.
La falta de una verificación adecuada de capacidades en el plugin WP Force SSL & HTTPS SSL Redirect puede dar lugar a modificaciones no autorizadas de la configuración por parte de usuarios autenticados. Es fundamental para los administradores de sitios web afectados tomar medidas inmediatas para actualizar el plugin y restringir los permisos de usuario para prevenir posibles ataques.