El plugin WP Project Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en el método ‘check’ de las clases ‘Create_Milestone’, ‘Create_Task_List’, ‘Create_Task’ y ‘Delete_Task’ en la versión 2.6.14. Esto permite a atacantes no autenticados crear hitos, crear listas de tareas, crear tareas o eliminar tareas en cualquier proyecto.
La falta de autorización en el plugin WP Project Manager hasta la versión 2.6.14 puede ser explotada por ciberdelincuentes para realizar acciones no deseadas en proyectos de WordPress. Los usuarios deben actualizar el plugin a la última versión disponible lo antes posible para mitigar este riesgo. Además, se recomienda limitar el acceso al panel de administrador solo a usuarios confiables y fortalecer las medidas de seguridad implementando autenticación de dos factores.
Es crucial prestar atención a las actualizaciones de seguridad de los plugins de WordPress y tomar medidas proactivas para proteger los sitios web contra posibles ataques. La falta de autorización en WP Project Manager es un recordatorio de la importancia de mantener todos los componentes de un sitio web actualizados y seguros.