InstaWP Connect <= 0.0.9.18 - Missing Authorization to Unauthenticated Post/Taxonomy/User Add/Change/Delete, Customizer Setting Change, Plugin Installation/Activation/Deactication via events_receiver

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin InstaWP Connect, que permite la modificación y eliminación no autorizada de entradas, taxonomías y usuarios. Esta falla, catalogada con un CVSS de 9.8, puede ser explotada por atacantes no autenticados.

Contexto técnico

La vulnerabilidad se origina en una falta de autorización adecuada en varias funciones del plugin, lo que permite a usuarios no autenticados realizar acciones sensibles como añadir, cambiar o eliminar contenido y configuraciones del personalizador, así como instalar, activar o desactivar plugins a través de eventos específicos.

Impacto potencial

La explotación de esta vulnerabilidad puede tener graves consecuencias para la seguridad de la instalación de WordPress, permitiendo a atacantes comprometer la integridad del sitio, modificar su contenido y potencialmente introducir malware. Esto podría resultar en pérdidas económicas y de reputación para las organizaciones afectadas.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones afectadas del plugin, sin necesidad de estar autenticados, lo que facilita el ataque.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin InstaWP Connect a la versión 0.0.9.19 o superior. Además, se sugiere revisar los permisos de usuario y aplicar una política de seguridad que limite el acceso a funciones críticas del sitio.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en entradas, taxonomías o configuraciones del personalizador, así como registros de actividad inusual en la instalación del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 0.0.9.19 del plugin InstaWP Connect.