El plugin YITH Essential Kit for WooCommerce #1 para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidad en las funciones ‘activate_module’, ‘deactivate_module’ e ‘install_module’ en todas las versiones hasta, e incluyendo, la 2.34.0. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, instalar, activar y desactivar plugins de una lista predefinida de plugins YITH disponibles.
Como solución, los usuarios afectados por esta vulnerabilidad deben actualizar el plugin a la última versión disponible, en este caso, a la versión 2.34.1 o posterior. Además, se recomienda a los usuarios restringir el acceso a usuarios no confiables y mantener siempre actualizados sus plugins y temas para evitar posibles vulnerabilidades de seguridad.
Es fundamental para la seguridad de un sitio web WordPress mantener todos los plugins, temas y la propia plataforma actualizados a las últimas versiones disponibles. Realizar una auditoría de seguridad periódica y mantener una política de seguridad sólida ayuda a prevenir posibles brechas de seguridad como la descrita en este reporte.