Optimize Database after Deleting Revisions <= 5.0.110 - Missing Authorization via 'odb_csv_download'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Optimize Database after Deleting Revisions' en versiones anteriores a la 5.1. Esta falla permite el acceso no autorizado a la funcionalidad de descarga de datos CSV.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en la función 'odb_csv_download'. Esto permite que usuarios no autenticados puedan acceder a datos sensibles almacenados en la base de datos, comprometiendo así la integridad del sistema.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, con un CVSS de 5.3. Un atacante podría obtener información sensible, lo que podría llevar a un uso indebido de datos o a la exposición de información crítica del negocio.

Vector de explotación

La explotación de esta vulnerabilidad se puede realizar mediante el envío de solicitudes maliciosas a la función vulnerable, permitiendo la descarga de datos sin la debida autorización.

Mitigación recomendada

Actualizar el plugin 'Optimize Database after Deleting Revisions' a la versión 5.1 o superior. Además, revisar las configuraciones de permisos y accesos para asegurar que solo usuarios autorizados puedan interactuar con funciones críticas.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales a la función 'odb_csv_download' y descargas de datos que no deberían ser accesibles para ciertos usuarios.

Alcance afectado

Las versiones del plugin anteriores a la 5.1 están afectadas, siendo la versión 5.0.110 la más reciente antes de la corrección.