El plugin WordPress Backup & Migration para WordPress es vulnerable a acceso no autorizado de datos debido a la falta de una verificación de capacidad en la función wp_mgdp_populate_popup en todas las versiones hasta, e incluyendo, la 1.4.8. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, invocar esta función y acceder a archivos de registro mantenidos por el plugin. Además, el nombre del archivo es proporcionado por el usuario y no está debidamente sanizado, lo que permite a los atacantes leer archivos de registro arbitrarios en el sistema de archivos.
Para subsanar este problema, los usuarios deben actualizar a la última versión del plugin tan pronto como sea posible. Además, se recomienda restringir el acceso a los archivos sensibles y limitar los privilegios de los usuarios para evitar posibles explotaciones. Es importante mantener el plugin y todas las extensiones actualizadas regularmente para mitigar futuras vulnerabilidades.
Es crucial para la seguridad de tu sitio web mantener todos los plugins actualizados y seguir las mejores prácticas de seguridad para prevenir posibles brechas de seguridad. La falta de autorización en el plugin WordPress Backup & Migration puede ser explotada por atacantes para acceder a información confidencial, por lo que es fundamental tomar medidas preventivas para proteger tus datos.