Posts Like Dislike <= 1.1.1 - Missing Authorization to Authenticated (Subscriber+) Plugin Setting Reset

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Posts Like Dislike' en versiones hasta la 1.1.1, que permite a usuarios autenticados (nivel Suscriptor y superior) restablecer configuraciones del plugin sin la debida autorización. Esta vulnerabilidad tiene una severidad media con un CVSS de 4.3.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados en las funciones que gestionan la configuración del plugin. Esto permite que usuarios con permisos limitados accedan a funcionalidades que deberían estar restringidas, lo que representa un vector de ataque potencial.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a usuarios no autorizados modificar configuraciones del plugin, lo que podría afectar la funcionalidad del sitio y comprometer la integridad de los datos. Esto puede tener repercusiones en la experiencia del usuario y en la reputación del negocio.

Vector de explotación

La vulnerabilidad se puede explotar mediante el envío de solicitudes maliciosas a las funciones del plugin que no validan correctamente los permisos del usuario, permitiendo así el restablecimiento de configuraciones sin la autorización necesaria.

Mitigación recomendada

Se recomienda actualizar el plugin 'Posts Like Dislike' a la versión 1.1.2 o superior, donde se ha solucionado esta vulnerabilidad. Además, se sugiere revisar los permisos de los usuarios y aplicar principios de menor privilegio en la gestión de roles.

Señales de detección

Se debe estar atento a cambios inusuales en la configuración del plugin, así como a logs de actividad que muestren intentos de modificación por parte de usuarios con permisos limitados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.1.2 del plugin 'Posts Like Dislike'. Es crucial verificar si se está utilizando este plugin en la instalación de WordPress.