WP Mail SMTP Pro <= 3.8.0 - Missing Authorization to Information Dislcosure via is_print_page

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin WP Mail SMTP Pro, que afecta a las versiones hasta la 3.8.0. Esta falla permite el acceso no autorizado a información sensible a través de una página específica del plugin.

Contexto técnico

La vulnerabilidad se presenta debido a la falta de autorización adecuada en la función 'is_print_page', lo que permite a los atacantes acceder a información que debería estar protegida. La superficie de ataque se centra en las páginas del plugin que no requieren autenticación para ser visualizadas.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, con un CVSS de 5.3, lo que sugiere que podría ser explotada para acceder a datos sensibles. Esto podría comprometer la seguridad de la información de los usuarios y afectar la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a la página vulnerable sin la debida autorización, lo que les permite visualizar información que no deberían poder ver.

Mitigación recomendada

Se recomienda actualizar el plugin WP Mail SMTP Pro a la versión 3.8.1 o superior, donde esta vulnerabilidad ha sido corregida. Además, se sugiere revisar las configuraciones de seguridad y aplicar prácticas de hardening en la instalación de WordPress.

Señales de detección

Señales de posible explotación incluyen accesos no autorizados a páginas del plugin y logs que muestren intentos de acceder a información sensible sin las credenciales adecuadas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.8.1 del plugin WP Mail SMTP Pro. Las instalaciones que utilizan estas versiones están en riesgo.