Advanced Menu Manager <= 3.0.6 - Authenticated (Subscriber+) Menu Creation/Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de severidad media en el plugin Advanced Menu Manager, que permite a usuarios autenticados con rol de suscriptor o superior crear y eliminar menús. Esta vulnerabilidad afecta a las versiones hasta la 3.0.6 y fue corregida en la 3.0.7.

Contexto técnico

El fallo se produce en la gestión de permisos del plugin, lo que permite a usuarios con privilegios limitados realizar acciones no autorizadas en la creación y eliminación de menús. Esto expone la superficie de ataque a usuarios que, aunque no deberían tener acceso a estas funciones, pueden explotarlo.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante autenticado manipular la estructura de navegación del sitio, lo que podría llevar a confusión entre los usuarios y potencialmente a la suplantación de identidad o a la divulgación no intencionada de información sensible.

Vector de explotación

Generalmente, la vulnerabilidad se explota mediante la autenticación en el sistema como un usuario con rol de suscriptor o superior, aprovechando la falta de validación adecuada de permisos en las funciones de creación y eliminación de menús.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Advanced Menu Manager a la versión 3.0.7 o superior. Además, es aconsejable revisar y restringir los permisos de los usuarios para evitar que aquellos con privilegios limitados puedan acceder a funciones críticas.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en la estructura de menús o en la navegación del sitio, así como intentos de acceso a funciones administrativas por parte de usuarios con rol de suscriptor.

Alcance afectado

Las versiones del plugin Advanced Menu Manager hasta la 3.0.6 son las afectadas. Cualquier instalación que utilice estas versiones está en riesgo.