Usuario de Role Editor 4.25 parchea vulnerabilidad de seguridad crítica

Traducido del artículo: “User Role Editor 4.25 Patches Critical Security Vulnerability” de:

Jeff Chandler, abril 4 de 2016

Vladimir Garagulya, desarrollador del Editor de Funciones de Usuario ha parcheado una vulnerabilidad de seguridad crítica. El Role Editor se utiliza para editar, administrar y crear funciones de usuario y capacidades, estando activo en más de 300 mil sitios.

Interfaz de Rol Editor

El Editor Role 4.24 e inferior le permite a cualquier usuario registrado obtener acceso como administrador. Wordfence, un complemento de seguridad popular para WordPress tiene más detalles y explica por qué el plugin era vulnerable:

El autor estaba comprobando si los usuarios tienen acceso a editar otro usuario mediante la función ‘current_user_can’ y comprobando la ‘edit_user’ (sin “s” en el extremo) en la capacidad de un ID de usuario específico. Un usuario puede editarlos, y así enviar datos al plugin que suministra el ID del usuario actual, lo cual podía hacerse salteándose la comprobación correspondiente.

Los usuarios deben actualizar de inmediato a 4,25 a fin de proteger los sitios de esta vulnerabilidad.

Quién es Jeff Chandler

Jeff Chandler es un joven de WordPress forma parte del equipo deportivo estatal. Escritor colaborador de WPTavern. Ha escrito acerca de WordPress desde 2007. Anfitrión del Podcast semanal WordPress.