El plugin WP-Recall – Registro, Perfil, Comercio y Más para WordPress es vulnerable a la escalada de privilegios/toma de cuentas en todas las versiones hasta, e incluyendo, la 16.26.8. Esto se debe a que el plugin no verifica adecuadamente la identidad de un usuario durante la creación de una nueva orden. Esto hace posible que atacantes no autenticados suministren cualquier correo electrónico a través del campo user_email y actualicen la contraseña de ese usuario durante la creación de una nueva orden. Se requiere que el complemento de comercio esté habilitado para explotar la vulnerabilidad.
El plugin WP-Recall – Registro, Perfil, Comercio y Más para WordPress presenta una vulnerabilidad que permite a atacantes no autenticados actualizar la contraseña de un usuario no autorizado durante la creación de una nueva orden. Para subsanar este problema, se recomienda deshabilitar temporalmente el complemento de comercio hasta que se lance una actualización de seguridad que aborde esta vulnerabilidad. Además, se aconseja mantener el plugin y todas las extensiones actualizadas a la última versión disponible para reducir el riesgo de explotación de vulnerabilidades conocidas.
Es crucial que los usuarios de WP-Recall – Registro, Perfil, Comercio y Más para WordPress estén al tanto de esta vulnerabilidad y tomen medidas inmediatas para proteger sus sitios web. Al seguir las recomendaciones mencionadas anteriormente, los usuarios pueden mitigar el riesgo de que un atacante aproveche esta vulnerabilidad para realizar actualizaciones de contraseña no autorizadas.