El plugin WP-Recall – Registro, Perfil, Comercio y Más para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de comprobación de capacidades en la función ‘delete_payment’ en todas las versiones hasta, e incluyendo, la 16.26.6. Esto permite a atacantes no autenticados eliminar pagos arbitrarios.
Los usuarios afectados por esta vulnerabilidad deben actualizar inmediatamente a la última versión del plugin para evitar posibles ataques. Además, se recomienda limitar el acceso a la función ‘delete_payment’ solo a usuarios autorizados y revisar regularmente los registros de pagos para detectar cualquier actividad sospechosa.
Es fundamental que los administradores de sitios web que utilizan el plugin WP-Recall sean conscientes de esta vulnerabilidad y tomen las medidas necesarias para proteger la integridad de los datos de sus usuarios.