Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Wicked Folders, que afecta a las versiones hasta la 2.18.16. Esta falla puede permitir a usuarios no autorizados realizar acciones no permitidas en el sistema.
Fuente base de datos: Wordfence Intelligence
Wicked Folders <= 2.18.16 - Missing Authorization on ajax_move_object
PLUGIN
MEDIUM
CVE-2023-0712
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad radica en la falta de controles de autorización en la función ajax_move_object del plugin. Esto permite que usuarios no autenticados o con privilegios insuficientes realicen movimientos de objetos dentro de la estructura de carpetas, comprometiendo la integridad del sistema.
Impacto potencial
El impacto potencial incluye la posibilidad de que usuarios malintencionados manipulen la organización de archivos y carpetas, lo que podría resultar en la pérdida de datos o en la exposición de información sensible. Esto podría afectar la confianza de los usuarios y la reputación del negocio.
Vector de explotación
Generalmente, la explotación se lleva a cabo mediante el envío de peticiones AJAX maliciosas que no son debidamente validadas, permitiendo así la ejecución de acciones no autorizadas.
Mitigación recomendada
Se recomienda actualizar el plugin Wicked Folders a la versión 2.18.17 o superior. Además, se sugiere revisar los permisos de usuario y aplicar medidas de hardening en la configuración del sitio para limitar el acceso a funciones críticas.
Señales de detección
Señales de riesgo incluyen actividad inusual en las peticiones AJAX relacionadas con la gestión de carpetas, así como cambios inesperados en la estructura de archivos y carpetas del sitio.
Alcance afectado
Las versiones del plugin Wicked Folders hasta la 2.18.16 están afectadas por esta vulnerabilidad. Se recomienda a todos los usuarios de este plugin que realicen la actualización correspondiente.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
wicked-folders
Wicked Folders <= 4.1.0 - Insecure Direct Object Reference to Authenticated (Contributor+) Arbitrary Folder Deletion
MEDIUM
PLUGIN
wicked-folders
Wicked Folders <= 2.18.16 - Missing Authorization on ajax_save_folder_order
MEDIUM
PLUGIN
wicked-folders
Wicked Folders <= 2.18.16 - Cross-Site Request Forgery on ajax_save_folder
MEDIUM
PLUGIN
wicked-folders
Wicked Folders <= 2.18.16 - Cross-Site Request Forgery via ajax_delete_folder
MEDIUM
PLUGIN
wicked-folders
Wicked Folders <= 2.18.16 - Cross-Site Request Forgery via ajax_save_state
MEDIUM
PLUGIN
wicked-folders
Wicked Folders <= 2.18.16 - Missing Authorization on ajax_clone_folder
MEDIUM
PLUGIN
wicked-folders
Wicked Folders <= 2.18.16 - Cross-Site Request Forgery via ajax_save_folder_order
MEDIUM
PLUGIN
wicked-folders
Wicked Folders <= 2.18.16 - Cross-Site Request Forgery via ajax_clone_folder
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto