Advanced Cron Manager <= 2.4.1 - Subscriber+ Arbitrary Events/Schedules Creation/Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de severidad media en el plugin Advanced Cron Manager, que permite a usuarios con rol de suscriptor o superior crear y eliminar eventos o programaciones arbitrarias. Esta falla afecta a la versión 2.4.1 y anteriores, siendo corregida en la versión 2.4.2.

Contexto técnico

La vulnerabilidad radica en la falta de validación adecuada de los permisos en las funciones que gestionan la creación y eliminación de eventos programados. Esto permite a usuarios no autorizados manipular cron jobs, lo que puede afectar el funcionamiento del sitio.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante pueda ejecutar código malicioso o alterar la programación de tareas críticas del sitio, lo que podría resultar en pérdida de datos o interrupción del servicio.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la autenticación como usuario con rol de suscriptor o superior, seguido de la manipulación de las funciones del plugin para crear o eliminar cron jobs maliciosos.

Mitigación recomendada

Actualizar el plugin Advanced Cron Manager a la versión 2.4.2 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de hardening en la gestión de roles.

Señales de detección

Señales de riesgo incluyen la aparición de eventos programados inusuales en el sistema de cron de WordPress, así como cambios inesperados en la programación de tareas.

Alcance afectado

Las versiones del plugin Advanced Cron Manager hasta la 2.4.1 son vulnerables. La versión 2.4.2 y posteriores no presentan esta vulnerabilidad.