Beaver Builder <= 2.5.4.3 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en Beaver Builder hasta la versión 2.5.4.3, que podría permitir a un atacante realizar acciones no autorizadas. Esta vulnerabilidad tiene una severidad media y afecta a la seguridad del plugin.

Contexto técnico

La vulnerabilidad se debe a la falta de controles de autorización adecuados en el plugin Beaver Builder, lo que permite que usuarios no autenticados accedan a ciertas funcionalidades. La superficie de ataque se centra en las interacciones con el plugin que no requieren autenticación previa.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante realice cambios no autorizados en el contenido del sitio web, lo que podría comprometer la integridad del mismo y afectar la confianza de los usuarios. Esto podría resultar en pérdidas económicas y de reputación para el negocio.

Vector de explotación

Normalmente, esta vulnerabilidad se explota mediante el envío de solicitudes HTTP manipuladas que acceden a funciones del plugin sin la debida autorización, permitiendo al atacante ejecutar acciones maliciosas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar Beaver Builder a la versión 2.5.4.4 o superior. Además, se debe revisar la configuración de permisos de usuario y aplicar prácticas de hardening en la gestión de plugins.

Señales de detección

Señales de riesgo pueden incluir actividad inusual en los registros de acceso del plugin, intentos de acceso a funciones restringidas y cambios inesperados en el contenido del sitio.

Alcance afectado

Las versiones del plugin Beaver Builder hasta la 2.5.4.3 están afectadas. Es crucial verificar la versión instalada en todos los sitios que utilicen este plugin.