Protected Posts Logout Button <= 1.4.5 - Missing Authorization on pplb_options_save

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Protected Posts Logout Button' en versiones hasta la 1.4.5, que podría permitir a usuarios no autorizados modificar configuraciones. Esta vulnerabilidad ha sido clasificada con una severidad media y un CVSS de 6.5.

Contexto técnico

La vulnerabilidad se encuentra en la función de guardado de opciones del plugin, donde se carece de una verificación adecuada de los permisos del usuario. Esto permite que cualquier usuario, independientemente de su rol, pueda realizar cambios en la configuración del plugin.

Impacto potencial

El impacto potencial de esta vulnerabilidad podría incluir la alteración no autorizada de configuraciones críticas del plugin, lo que podría comprometer la seguridad de los contenidos protegidos y afectar la integridad de la gestión de usuarios.

Vector de explotación

Generalmente, se explota al enviar solicitudes maliciosas al endpoint de configuración del plugin sin la debida autenticación, permitiendo así la modificación de parámetros sin autorización.

Mitigación recomendada

Actualizar el plugin a la versión 1.4.6 o superior, donde se ha corregido esta vulnerabilidad. Además, se recomienda revisar las configuraciones de usuario y permisos en el sitio.

Señales de detección

Señales de riesgo incluyen cambios inesperados en las configuraciones del plugin, así como registros de acceso inusuales por parte de usuarios no autorizados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.4.6 del plugin 'Protected Posts Logout Button'.