WP Like Button <= 1.7.0 - Missing Authorization via crublabFBLBAjax

Resumen ejecutivo

Se ha identificado una vulnerabilidad de baja severidad en el plugin WP Like Button, que afecta a versiones anteriores a la 1.7.0. Esta vulnerabilidad permite la falta de autorización en ciertas funcionalidades, lo que podría ser aprovechado por atacantes.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en el manejo de solicitudes AJAX dentro del plugin WP Like Button. Esto permite que usuarios no autenticados puedan realizar acciones que deberían estar restringidas, aumentando la superficie de ataque.

Impacto potencial

Aunque la severidad se clasifica como baja (CVSS 3.1), la explotación de esta vulnerabilidad podría permitir a un atacante ejecutar acciones no autorizadas, lo que podría comprometer la integridad del sitio y la experiencia del usuario, afectando potencialmente la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes AJAX maliciosas a las funciones del plugin que no verifican adecuadamente la autorización del usuario, permitiendo la ejecución de acciones no permitidas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WP Like Button a la versión 1.7.0 o superior. Además, se debe revisar la configuración de seguridad del sitio y aplicar buenas prácticas de hardening.

Señales de detección

Señales de posible explotación incluyen un aumento inusual en las solicitudes AJAX dirigidas al plugin WP Like Button, especialmente desde direcciones IP no reconocidas o no autenticadas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.7.0 del plugin WP Like Button.