El plugin WP Radio – Directorio de Estaciones de Radio Online a Nivel Mundial para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidad en múltiples funciones AJAX en todas las versiones hasta, e incluyendo, la 3.1.9. Esto permite que atacantes autenticados, con acceso de suscriptor y superior, importen estaciones de radio, eliminen países y modifiquen ajustes del plugin, lo que puede provocar Cross-Site Scripting, rastreado por separado en CVE-2024-1041.
Los usuarios afectados por esta vulnerabilidad deberían actualizar el plugin WP Radio a la última versión disponible. Además, se recomienda restringir el acceso de usuario a funciones sensibles a través de un plugin de control de acceso o roles y capacidades para evitar que atacantes autenticados realicen acciones no autorizadas. Asimismo, se sugiere monitorear de cerca las actividades sospechosas en el backend de WordPress para detectar cualquier intento de modificación no autorizada de datos.
Es fundamental que los administradores de sitios web que utilicen el plugin WP Radio – Directorio de Estaciones de Radio Online a Nivel Mundial para WordPress estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios y datos. La actualización del plugin y la implementación de medidas de seguridad adicionales son pasos clave para mitigar el riesgo de explotación de esta vulnerabilidad.