La vulnerabilidad de autorización a eliminación arbitraria de archivos adjuntos en el plugin Youzify para WordPress permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminar archivos adjuntos arbitrarios.
La función ‘delete_attachment’ en todas las versiones hasta la 1.3.0 del plugin Youzify para WordPress no realiza una verificación de capacidades, lo que permite a usuarios autenticados con permisos de Suscriptor y superiores eliminar archivos adjuntos sin autorización. Para mitigar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible tan pronto como sea posible. Además, se aconseja a los administradores del sitio limitar los privilegios de los usuarios a los estrictamente necesarios para reducir el riesgo de explotación de esta vulnerabilidad.
La falta de autorización en la función de eliminación de archivos adjuntos del plugin Youzify para WordPress representa un riesgo de seguridad significativo para los sitios web que lo utilizan. Los usuarios deben tomar medidas inmediatas para proteger sus instalaciones actualizando el plugin y revisando los permisos de los usuarios en busca de posibles accesos no autorizados.