Fuente base de datos: Wordfence Intelligence

JobSearch WP Job Board <= 1.8.1 - Missing Authorization to Arbitrary Options Update

PLUGIN HIGH CVE-2021-4361

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin JobSearch WP Job Board, que permite la actualización arbitraria de opciones sin la debida autorización. Esta falla afecta a las versiones anteriores a la 1.8.2, con una puntuación CVSS de 8.8.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados al actualizar opciones del plugin, lo que permite a un atacante modificar configuraciones sensibles sin necesidad de autenticación. La superficie de ataque se amplía a cualquier usuario con acceso no restringido al panel de administración.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante comprometer la configuración del sitio, lo que podría llevar a la pérdida de datos, alteración de la funcionalidad del sitio o incluso a la toma de control total del mismo, afectando gravemente la confianza de los usuarios y la integridad del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas a la API del plugin, lo que les permite modificar opciones sin la autorización adecuada.

Mitigación recomendada

Actualizar el plugin JobSearch WP Job Board a la versión 1.8.2 o posterior. Además, se recomienda revisar los permisos de los usuarios en el panel de administración y aplicar medidas de seguridad adicionales, como la implementación de un firewall de aplicaciones web.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración del plugin, registros de acceso inusuales en el panel de administración y alertas de seguridad relacionadas con la modificación de opciones.

Alcance afectado

Las versiones del plugin JobSearch WP Job Board anteriores a la 1.8.2 están afectadas. Se recomienda a todos los usuarios que utilicen este plugin que realicen la actualización de inmediato.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-jobsearch

JobSearch WP Job Board <= 3.2.0 - Reflected Cross-Site Scripting

HIGH PLUGIN

wp-jobsearch

JobSearch < 3.0.8 - Unauthenticated PHP Object Injection

HIGH PLUGIN

wp-jobsearch

JobSearch < 3.0.8 - Authenticated (Subscriber+) Local File Inclusion

MEDIUM PLUGIN

wp-jobsearch

JobSearch < 3.0.6 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

wp-jobsearch

JobSearch < 3.0.6 - Authenticated (Subscriber+) Insecure Direct Object Reference

HIGH PLUGIN

wp-jobsearch

JobSearch WP Job Board <= 2.9.2 - Authentication Bypass via Social Logins

CRITICAL PLUGIN

wp-jobsearch

WP JobSearch <= 2.6.7 - Authentication Bypass to Account Takeover and Privilege Escalation

CRITICAL PLUGIN

wp-jobsearch

WP JobSearch <= 2.6.7 - Authenticated (Subscriber+) Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto