Post Meta Data Manager <=1.2.0 - Missing Authorization to User, Term, and Post Meta Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Post Meta Data Manager, que permite la eliminación no autorizada de metadatos de usuario, término y publicación. Esta falla afecta a las versiones hasta la 1.2.0 y se ha corregido en la versión 1.2.1.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada en las funciones que gestionan la eliminación de metadatos. Esto permite a un atacante eliminar información sensible sin los permisos necesarios, comprometiendo así la integridad de los datos en el sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante modificar o eliminar datos críticos de la base de datos, lo que podría resultar en la pérdida de información valiosa y afectar la operativa del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas a las funciones de eliminación de metadatos, lo que les permite ejecutar acciones no autorizadas en el sistema.

Mitigación recomendada

Se recomienda actualizar el plugin Post Meta Data Manager a la versión 1.2.1 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar medidas de hardening en la configuración del sitio.

Señales de detección

Señales de posible explotación incluyen registros de eliminación de metadatos no autorizados o cambios inesperados en los datos de publicaciones y usuarios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.2.1 del plugin Post Meta Data Manager.