El complemento WP Project Manager para WordPress es vulnerable a la Divulgación de Información Sensible en todas las versiones hasta, e incluyendo, la 2.6.15 a través del punto final de la API REST de la Lista de Tareas del Proyecto (‘/wp-json/pm/v2/projects/1/task-lists’). Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, extraer datos sensibles incluyendo las contraseñas hasheadas de los propietarios del proyecto (por ejemplo, administradores).
Se recomienda a los usuarios del complemento WP Project Manager que actualicen a la última versión disponible para mitigar este problema de seguridad. Además, se sugiere restringir el acceso a la API REST a roles de usuario autorizados y revisar las configuraciones de seguridad del sitio para garantizar que no hayan otras vulnerabilidades que puedan ser explotadas por atacantes.
La Divulgación de Información Sensible a través de la API REST de la Lista de Tareas del Proyecto en WP Project Manager puede ser un problema de seguridad significativo para los propietarios de sitios web. Es fundamental tomar medidas proactivas para proteger la información confidencial y garantizar la integridad de los datos.