El complemento «TagDiv Cloud Library» para WordPress es una herramienta que permite a los usuarios personalizar su sitio web.
Dicho complemento, presenta una vulnerabilidad que permite la modificación no autorizada de datos. Esta vulnerabilidad se debe a la falta de verificación de capacidad en la función “tdb_user_form_on_submit()”, que es llamada a través de una acción AJAX.
La vulnerabilidad, identificada como CVE-2023-1597 con severidad Crítica y un puntaje base CVSS de 9.8. Hace posible que atacantes no autenticados modifiquen metadatos (datos que describen otros datos) de usuarios arbitrarios y obtengan privilegios elevados.
Producto Afectado
TagDiv Cloud Library para WordPress en versiones anteriores a la 2.7.
Solución
Actualizar a la versión 2.7 o superior.
Recomendaciones
Se recomienda a los usuarios que hacen uso de este complemento realizar la actualización a la versión libre de esta vulnerabilidad.
Referencias