Intuitive Custom Post Order <= 3.1.3 - Missing Authorization to Authenticated Settings Change

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo medio en el plugin Intuitive Custom Post Order, que permite cambios en la configuración sin la autorización adecuada. Esta falla afecta a las versiones hasta la 3.1.3 y fue solucionada en la versión 3.1.4.

Contexto técnico

El fallo se origina en la falta de verificación de permisos para los cambios en la configuración del plugin. Esto significa que un usuario autenticado podría realizar modificaciones no autorizadas en la configuración del plugin, lo que puede comprometer la integridad del sistema.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante modificar configuraciones críticas del plugin, lo que podría afectar la funcionalidad del sitio web y potencialmente llevar a un acceso no autorizado a otros componentes del sistema.

Vector de explotación

La vulnerabilidad se puede explotar mediante la autenticación de un usuario legítimo que no tenga los permisos necesarios para realizar cambios en la configuración del plugin, permitiendo así realizar acciones no autorizadas.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 3.1.4 o superior para mitigar esta vulnerabilidad. Además, se debe revisar la configuración de permisos de los usuarios para asegurar que solo los roles adecuados tengan acceso a la configuración del plugin.

Señales de detección

Se pueden observar cambios inesperados en la configuración del plugin o en la funcionalidad de los posts personalizados como señales de posible explotación de esta vulnerabilidad.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Intuitive Custom Post Order hasta la 3.1.3. Las instalaciones que utilicen estas versiones están en riesgo.