Fuente base de datos: Wordfence Intelligence

Wicked Folders <= 2.18.16 - Missing Authorization via ajax_save_state

PLUGIN MEDIUM CVE-2023-0711

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Wicked Folders, que afecta a versiones anteriores a la 2.18.17. Esta falla permite que un atacante no autorizado pueda manipular el estado de la aplicación a través de llamadas AJAX.

Contexto técnico

La vulnerabilidad se origina en la falta de controles adecuados de autorización en el método 'ajax_save_state'. Esto permite que usuarios no autenticados realicen acciones que deberían estar restringidas, afectando la integridad de la configuración del plugin.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante modifique configuraciones críticas del plugin, lo que podría llevar a una exposición de datos o a la alteración de la funcionalidad del sitio web. Esto podría afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante el envío de solicitudes AJAX maliciosas a la aplicación, lo que permite a un atacante manipular el estado sin las debidas credenciales.

Mitigación recomendada

Actualizar el plugin Wicked Folders a la versión 2.18.17 o superior. Además, se recomienda revisar las configuraciones de seguridad del sitio y aplicar medidas de hardening para limitar el acceso no autorizado.

Señales de detección

Señales de posible explotación incluyen registros de intentos de acceso no autorizado a funciones de AJAX o cambios inesperados en la configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las versiones de Wicked Folders hasta la 2.18.16. Se debe prestar especial atención a instalaciones que utilicen estas versiones.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wicked-folders