El plugin Zita Elementor Site Library para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en las funciones import_xml_data, xml_data_import, import_option_data, import_widgets e import_customizer_settings en todas las versiones hasta, e incluyendo, la 1.6.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, crear páginas, actualizar ciertas opciones, incluidos los títulos de las páginas de WooCommerce y la configuración de Elementor, importar widgets y actualizar la configuración del personalizador del plugin y el CSS personalizado de WordPress. NOTA: Esta vulnerabilidad fue parcialmente corregida en la versión 1.6.2.
Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente el plugin Zita Elementor Site Library a la versión 1.6.3 o superior para evitar posibles ataques. Además, se recomienda a los usuarios restringir el acceso de los roles de usuario a funcionalidades sensibles, como la creación de páginas y la modificación de opciones, utilizando plugins de control de acceso o ajustando las capacidades predeterminadas de WordPress de manera adecuada.
Es fundamental mantener todos los plugins y temas de WordPress actualizados regularmente y tomar medidas adicionales para restringir el acceso a funciones sensibles en el sitio web con el fin de protegerlo de posibles amenazas de seguridad.