Redirect Redirection <= 1.1.3 - Missing Authorization in 'addRedirect' function

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Redirect Redirection, que afecta a las versiones hasta la 1.1.3. Este fallo se relaciona con la falta de autorización en la función 'addRedirect', lo que puede permitir acciones no autorizadas en el sistema.

Contexto técnico

El problema radica en que la función 'addRedirect' no implementa correctamente los controles de acceso, lo que permite a usuarios no autenticados o malintencionados añadir redirecciones sin la debida autorización. Esto expone la superficie de ataque al permitir manipulaciones en la configuración de redirecciones del sitio.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante redirigir a los visitantes a sitios maliciosos, comprometiendo así la integridad y la reputación del negocio. Además, podría facilitar ataques de phishing o la distribución de malware, afectando la confianza de los usuarios.

Vector de explotación

Normalmente, la explotación ocurre cuando un atacante accede a la función 'addRedirect' sin las credenciales adecuadas, aprovechando la falta de validación de permisos para crear redirecciones maliciosas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Redirect Redirection a la versión 1.1.4 o superior. Además, es aconsejable revisar las configuraciones de acceso y aplicar políticas de autorización más estrictas en las funciones críticas del plugin.

Señales de detección

Las señales de riesgo incluyen intentos de acceso a la función 'addRedirect' por usuarios no autenticados y cambios inesperados en las redirecciones configuradas en el plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.1.4 del plugin Redirect Redirection, publicado antes del 21 de febrero de 2023.