Fuente base de datos: Wordfence Intelligence

Wicked Folders <= 2.18.16 - Missing Authorization on ajax_add_folder (falta de autorizacion) - version 2.18.17

PLUGIN MEDIUM CVE-2023-0713

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Wicked Folders, que afecta a las versiones hasta la 2.18.16. Este fallo podría permitir a usuarios no autorizados realizar acciones no permitidas en el sistema.

Contexto técnico

La vulnerabilidad se origina en una falta de verificación de autorización en la función 'ajax_add_folder', lo que permite a usuarios no autenticados añadir carpetas sin el control adecuado. Esto expone el sistema a manipulaciones no deseadas.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría comprometer la integridad del contenido del sitio y permitir a atacantes realizar acciones no autorizadas, afectando la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes AJAX maliciosas para añadir carpetas sin la debida autorización, lo que podría llevar a una escalada de privilegios o a la manipulación de datos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Wicked Folders a la versión 2.18.17 o superior. Además, se sugiere revisar los permisos de usuario y aplicar controles de acceso adecuados.

Señales de detección

Señales de posible explotación incluyen intentos de añadir carpetas sin la debida autenticación o actividad inusual en las solicitudes AJAX relacionadas con el plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.18.17 del plugin Wicked Folders.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wicked-folders