Getwid – Gutenberg Blocks <= 1.8.3 - Improper Authorization via get_remote_templates REST endpoint

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización inadecuada en el plugin Getwid para bloques de Gutenberg, que afecta a las versiones hasta la 1.8.3. Esta vulnerabilidad puede permitir accesos no autorizados a través del endpoint REST get_remote_templates.

Contexto técnico

El fallo se origina en el endpoint REST get_remote_templates del plugin Getwid, donde no se implementan correctamente las restricciones de autorización. Esto permite a los atacantes potenciales realizar solicitudes que deberían estar restringidas.

Impacto potencial

El impacto de esta vulnerabilidad podría comprometer la seguridad de las instalaciones afectadas, permitiendo que usuarios no autorizados accedan a recursos o datos sensibles, lo que podría resultar en una pérdida de confianza y reputación para el negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas al endpoint afectado, lo que les permite eludir las restricciones de acceso y obtener información no destinada a ellos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Getwid a la versión 1.8.4 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar medidas de hardening en los endpoints REST.

Señales de detección

Se pueden detectar intentos de explotación observando registros de acceso inusuales o solicitudes al endpoint get_remote_templates que no correspondan a usuarios autenticados.

Alcance afectado

Las versiones del plugin Getwid hasta la 1.8.3 están afectadas. Se recomienda a los administradores de WordPress verificar la versión instalada y actualizar si es necesario.