Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Permalink Manager <= 2.4.3.1 - Missing Authorization to Authenticated(Author+) Arbitrary Post Slug Modification (falta de autorizacion) - version 2.4.3.2

PLUGIN MEDIUM CVE-2024-2538

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Permalink Manager, que permite a usuarios autenticados modificar slugs de publicaciones de manera arbitraria. Esta falla afecta a versiones anteriores a la 2.4.3.2, con un nivel de severidad medio.

Contexto técnico

La vulnerabilidad radica en la falta de controles adecuados de autorización para usuarios autenticados con rol de autor o superior, permitiendo modificaciones no autorizadas en los slugs de las publicaciones. Esto puede dar lugar a confusión en la navegación y problemas de SEO.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la manipulación de URLs de publicaciones, lo que podría afectar negativamente la visibilidad en motores de búsqueda y la experiencia del usuario. Además, podría ser utilizado para suplantar contenido o redirigir tráfico.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes maliciosas para modificar slugs de publicaciones a través de la interfaz del plugin, aprovechando la falta de validación de permisos.

Mitigación recomendada

Actualizar el plugin Permalink Manager a la versión 2.4.3.2 o superior. Además, es recomendable revisar los permisos de usuario y aplicar prácticas de hardening en la gestión de roles.

Señales de detección

Señales de riesgo incluyen cambios inesperados en los slugs de publicaciones y actividad inusual por parte de usuarios autenticados. Monitorear logs de acceso puede ayudar a detectar accesos no autorizados.

Alcance afectado

Las versiones del plugin Permalink Manager hasta la 2.4.3.1 son vulnerables. Se recomienda a los usuarios que mantengan sus instalaciones actualizadas para evitar riesgos.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

permalink-manager

Permalink Manager Lite <= 2.5.1.3 - Unauthenticated Sensitive Information Exposure

Ver ficha
MEDIUM PLUGIN

permalink-manager

Permalink Manager Lite <= 2.4.4 - Missing Authorization to Unauthenticated Sensitive Information Exposure

Ver ficha
MEDIUM PLUGIN

permalink-manager

Permalink Manager Lite <= 2.4.3.3 - Reflected Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

permalink-manager

Plugin Permalink <= 2.4.3.1 - Missing Authorization via get_uri_editor

Ver ficha
MEDIUM PLUGIN

permalink-manager

Permalink Manager Lite and Permalink Manager Pro <= 2.4.3.1 - Reflected Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

permalink-manager

Permalink Manager Lite <= 2.4.3 - Reflected Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

permalink-manager

Permalink Manager Lite <= 2.2.20.3 - Authenticated Stored Cross-Site Scripting

Ver ficha
HIGH PLUGIN

permalink-manager

Permalink Manager Lite <= 2.2.20.1 - Cross-Site Request Forgery

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad