Fuente base de datos: Wordfence Intelligence

Data Tables Generator by Supsystic <= 1.9.91 - Missing Authorization on AJAX Actions

PLUGIN MEDIUM CVE-2020-12075

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Data Tables Generator by Supsystic' en versiones hasta la 1.9.91. Esta falla permite que usuarios no autorizados realicen acciones a través de AJAX, lo que podría comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en ciertas acciones AJAX del plugin. Esto permite que cualquier usuario, sin importar su nivel de acceso, ejecute funciones que deberían estar restringidas.

Impacto potencial

El impacto potencial de esta vulnerabilidad es considerado medio, ya que podría permitir a un atacante realizar cambios no autorizados en las tablas de datos o acceder a información sensible, afectando la integridad y la confidencialidad de los datos del sitio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes AJAX maliciosas a las funciones del plugin, lo que les permite eludir los controles de acceso establecidos.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 1.9.92 o superior, donde se ha corregido la vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar buenas prácticas de seguridad en la configuración del sitio.

Señales de detección

Señales de posible explotación incluyen registros de solicitudes AJAX inusuales o intentos de acceso a funciones del plugin por parte de usuarios no autorizados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.9.92 del plugin 'Data Tables Generator by Supsystic'.