Google Language Translator <= 6.0.19 - Missing Authorization via admin notifications

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Google Language Translator en versiones hasta la 6.0.19, relacionada con la falta de autorización en las notificaciones administrativas. Esta vulnerabilidad podría permitir a un atacante no autorizado acceder a funciones administrativas del plugin.

Contexto técnico

El fallo se origina en la ausencia de controles de autorización adecuados en las notificaciones administrativas del plugin Google Language Translator. Esto permite que usuarios no autenticados puedan realizar acciones que deberían estar restringidas, comprometiendo así la seguridad del entorno de WordPress.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, con un CVSS de 5.3. Un atacante podría aprovechar esta falla para manipular configuraciones del plugin o acceder a información sensible, lo que podría resultar en una pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante el envío de solicitudes manipuladas que no requieren autenticación, accediendo así a funciones administrativas del plugin sin las credenciales necesarias.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Google Language Translator a la versión 6.0.20 o superior. Además, es aconsejable revisar las configuraciones de seguridad y aplicar prácticas de hardening en el entorno de WordPress.

Señales de detección

Las señales de riesgo pueden incluir intentos de acceso no autorizado a las funciones administrativas del plugin, así como registros de actividad inusual en las notificaciones administrativas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Google Language Translator hasta la 6.0.19. Las instalaciones que utilicen estas versiones son vulnerables y deben ser actualizadas.