Kraken.io Image Optimizer <= 2.6.8 - Missing Authorization to Authenticated (Subscriber+) Plugin Options Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Kraken.io Image Optimizer, que afecta a versiones anteriores a la 2.6.8. Esta vulnerabilidad permite que usuarios autenticados con rol de suscriptor y superiores modifiquen opciones del plugin sin la autorización adecuada.

Contexto técnico

El fallo se origina en la falta de controles de autorización para ciertas opciones de configuración del plugin. Esto significa que cualquier usuario autenticado, incluso aquellos con permisos limitados, puede acceder y modificar configuraciones que deberían estar restringidas a roles más elevados.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad de la configuración del plugin, lo que podría resultar en un uso indebido de los recursos del servidor o en la alteración de la funcionalidad del sitio web. Esto podría tener repercusiones negativas en la seguridad y en la experiencia del usuario.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo al panel de administración de WordPress con un rol de suscriptor o superior, y luego intentando modificar las opciones del plugin sin la debida autorización.

Mitigación recomendada

Es crucial actualizar el plugin Kraken.io Image Optimizer a la versión 2.6.8 o superior para mitigar esta vulnerabilidad. Además, se recomienda revisar los roles y permisos de los usuarios en el sitio para asegurarse de que sólo los usuarios autorizados tengan acceso a configuraciones críticas.

Señales de detección

Se deben monitorizar cambios no autorizados en las configuraciones del plugin y revisar los registros de actividad de los usuarios que intentan modificar opciones del plugin sin los permisos adecuados.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Kraken.io Image Optimizer anteriores a la 2.6.8, publicado el 1 de febrero de 2023.