Wicked Folders <= 2.18.16 - Missing Authorization on ajax_clone_folder

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo 'falta de autorización' en el plugin Wicked Folders, que afecta a las versiones hasta la 2.18.16. Esta vulnerabilidad podría permitir a un atacante realizar acciones no autorizadas en el sistema.

Contexto técnico

La vulnerabilidad se presenta en la funcionalidad de clonación de carpetas del plugin Wicked Folders, donde se omite la verificación de permisos necesarios para ejecutar ciertas acciones a través de llamadas AJAX. Esto permite que usuarios no autenticados puedan acceder a funcionalidades restringidas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante potencialmente manipular la estructura de carpetas y archivos del sitio, comprometiendo la integridad y confidencialidad de los datos. Esto podría resultar en pérdida de información o en un acceso no autorizado a datos sensibles.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes AJAX maliciosas para clonar carpetas sin la debida autorización, lo que les permite realizar acciones que normalmente estarían restringidas.

Mitigación recomendada

Se recomienda actualizar el plugin Wicked Folders a la versión 2.18.17 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de posible explotación incluyen registros de solicitudes AJAX inusuales o no autorizadas en el sistema, así como cambios inesperados en la estructura de carpetas del sitio.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.18.17 del plugin Wicked Folders. Es importante verificar la versión instalada en todos los sitios que utilicen este plugin.