WP Custom Admin Interface <= 7.32 - Missing Authorization to Transients Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin WP Custom Admin Interface, que afecta a versiones hasta la 7.32. Esta vulnerabilidad permite la eliminación de transitorios sin la debida autorización, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización al eliminar transitorios, lo que permite a usuarios no autorizados ejecutar acciones que deberían estar restringidas. Esto puede ser explotado a través de peticiones HTTP maliciosas que no requieren privilegios adecuados.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante elimine datos críticos almacenados como transitorios, lo que podría afectar el rendimiento y la funcionalidad del sitio. Además, podría ser un vector para ataques más complejos si se combina con otras vulnerabilidades.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes maliciosas a la API del plugin, lo que les permite eliminar transitorios sin autorización. Esto puede realizarse mediante herramientas automatizadas o scripts personalizados.

Mitigación recomendada

Actualizar el plugin WP Custom Admin Interface a la versión 7.33 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales, como la implementación de un firewall y la monitorización de actividades sospechosas.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales a la API del plugin, intentos de eliminación de transitorios por parte de usuarios no autorizados y cambios inesperados en la funcionalidad del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin WP Custom Admin Interface hasta la 7.32. Se recomienda a los administradores de WordPress que verifiquen si están utilizando este plugin y tomen medidas inmediatas.