Gallery Blocks with Lightbox <= 3.0.7 - Missing Authorization in pgc_sgb_action_wizard

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Gallery Blocks with Lightbox' en versiones anteriores a la 3.0.8. Esta falla se relaciona con la falta de autorización en una acción específica, lo que podría permitir a un atacante llevar a cabo acciones no autorizadas.

Contexto técnico

La vulnerabilidad se origina en la función 'pgc_sgb_action_wizard', donde no se implementan controles de autorización adecuados. Esto permite que usuarios no autenticados realicen acciones que deberían estar restringidas, aumentando la superficie de ataque del plugin.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que podría permitir a un atacante manipular o acceder a funcionalidades del plugin sin la debida autorización, comprometiendo la integridad del sitio web y la seguridad de los datos de los usuarios.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes maliciosas a la función vulnerable, lo que les permitiría ejecutar acciones no permitidas sin necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.0.8 o superior. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales como la limitación de acceso a funciones críticas.

Señales de detección

Señales de posible explotación incluyen intentos de acceso a la función 'pgc_sgb_action_wizard' desde direcciones IP no reconocidas o patrones de tráfico inusuales que indiquen intentos de manipulación de la funcionalidad del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.0.8 del plugin 'Gallery Blocks with Lightbox'.