Yoast SEO Premium <= 20.4 - Missing Authorization to Zapier Key Reset

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Yoast SEO Premium, que afecta a las versiones hasta la 20.4. Esta falla permite el restablecimiento de claves de Zapier sin la debida autorización, lo que podría comprometer la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en el proceso de restablecimiento de claves de Zapier. Esto significa que un atacante podría aprovecharse de esta debilidad para modificar configuraciones críticas del plugin sin autorización, afectando así la integridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad es considerado medio, con un CVSS de 5.3. Si se explota, podría permitir a un atacante no autorizado realizar cambios en la configuración de integración con Zapier, lo que podría llevar a la exposición de datos sensibles o a la interrupción de servicios.

Vector de explotación

Generalmente, la explotación se llevaría a cabo enviando solicitudes maliciosas al endpoint de restablecimiento de claves de Zapier, sin que se requiera autenticación previa, lo que facilita el ataque.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Yoast SEO Premium a la versión 20.5 o superior. Además, es aconsejable revisar las configuraciones de seguridad y autorización del plugin para asegurar que se implementen controles adecuados.

Señales de detección

Las señales de riesgo incluyen intentos de restablecimiento de claves de Zapier desde direcciones IP no autorizadas o solicitudes inusuales al endpoint de configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 20.5 del plugin Yoast SEO Premium, lo que incluye versiones desde su lanzamiento hasta la 20.4.