Fuente base de datos: Wordfence Intelligence

ImageRecycle pdf & image compression <= 3.1.13 - Missing Authorization to Settings Update in optimizeAllOn

PLUGIN MEDIUM CVE-2024-1089

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin ImageRecycle para la compresión de PDF e imágenes, que afecta a las versiones hasta la 3.1.13. Esta falla permite la modificación no autorizada de la configuración del plugin.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en la función 'optimizeAllOn', lo que permite a usuarios no autenticados realizar cambios en la configuración del plugin. Esto puede ser explotado a través de solicitudes HTTP manipuladas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante modificar configuraciones críticas del plugin, lo que podría llevar a la pérdida de datos o la alteración del funcionamiento del sitio web. Esto podría afectar la confianza del usuario y la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante la ejecución de solicitudes HTTP que intentan modificar la configuración del plugin sin la debida autorización, lo que puede ser realizado por un atacante que tenga acceso a herramientas de automatización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.1.14 o superior. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de hardening en la instalación de WordPress.

Señales de detección

Se pueden detectar intentos de explotación mediante registros de actividad inusuales en el plugin, así como cambios inesperados en la configuración de ImageRecycle.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.1.14 del plugin ImageRecycle pdf & image compression.