Webmaster Tools Verification <= 1.2 - Missing Authorization to Arbitrary Plugin Deactivation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de severidad media en el plugin Webmaster Tools Verification, que permite la desactivación arbitraria del plugin sin la autorización adecuada. Esta falla afecta a las versiones anteriores a la 1.2 y fue publicada el 19 de octubre de 2022.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización que impiden que usuarios no autorizados desactiven el plugin. Esto puede ser explotado a través de solicitudes maliciosas que no requieren credenciales adecuadas, lo que expone la superficie de ataque a potenciales intrusos.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la desactivación del plugin, lo que podría comprometer funcionalidades críticas del sitio web, afectando su rendimiento y seguridad. Esto puede llevar a una pérdida de confianza por parte de los usuarios y daños en la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes HTTP específicas para desactivar el plugin sin necesidad de autenticación, lo que permite un acceso no autorizado a funciones críticas del mismo.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.2 o superior. Además, se debe revisar la configuración de permisos y asegurar que solo los usuarios autorizados tengan acceso a la gestión de plugins.

Señales de detección

Señales de posible explotación incluyen registros de solicitudes inusuales a la API del plugin que intenten desactivar funciones sin la debida autenticación. También se deben monitorizar cambios inesperados en el estado del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.2 del plugin Webmaster Tools Verification.