Advanced Custom Fields <= 5.12 - Authenticated Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin Advanced Custom Fields, que afecta a las versiones hasta la 5.12. Esta vulnerabilidad permite a usuarios autenticados acceder a información sensible de la aplicación.

Contexto técnico

El fallo se encuentra en la forma en que el plugin gestiona las solicitudes de información, permitiendo que un atacante autenticado obtenga datos que no deberían ser accesibles. La superficie de ataque se centra en las funciones de visualización de datos del plugin, que no implementan correctamente las restricciones de acceso.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la divulgación de información sensible, lo que podría comprometer la seguridad de la instalación y facilitar ataques posteriores. Esto podría afectar la confianza de los usuarios y la integridad de los datos.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante la autenticación en el sistema y el envío de solicitudes manipuladas para acceder a información que debería estar restringida.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Advanced Custom Fields a la versión 5.12.1 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar principios de menor privilegio en la gestión de roles.

Señales de detección

Señales de posible explotación incluyen accesos inusuales a datos sensibles por parte de usuarios autenticados, así como intentos de acceder a funciones del plugin que normalmente no deberían estar disponibles para ciertos roles.

Alcance afectado

Las versiones del plugin Advanced Custom Fields hasta la 5.12 son las afectadas. Las instalaciones que no han sido actualizadas a la versión 5.12.1 o superior están en riesgo.