Molongui <= 4.7.7 - Authenticated (Author+) Insecure Direct Object Reference en Molongui Authorship (Insecure Direct Object Reference (IDOR)) - version 4.7.8

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Molongui Authorship, que afecta a las versiones hasta la 4.7.7. Esta falla permite a usuarios autenticados acceder a objetos que no deberían estar a su alcance, lo que puede comprometer la seguridad de la instalación de WordPress.

Contexto técnico

La vulnerabilidad se basa en una referencia directa a objetos inseguros, lo que significa que un usuario autenticado puede manipular las solicitudes para acceder a datos sensibles de otros usuarios. Esto expone la superficie de ataque a usuarios con permisos de autor o superiores.

Impacto potencial

El impacto de esta vulnerabilidad puede ser considerable, ya que permite a los atacantes potenciales obtener información privada de otros autores, lo que puede llevar a la divulgación de datos sensibles y afectar la confianza en la plataforma.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad ocurre cuando un usuario autenticado modifica parámetros en las solicitudes HTTP para acceder a recursos que no le corresponden, como perfiles de usuario o contenido asociado a otros autores.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Molongui Authorship a la versión 4.7.8 o superior. Además, es aconsejable revisar los permisos de los usuarios y aplicar políticas de acceso más estrictas.

Señales de detección

Señales de posible explotación incluyen accesos inusuales a objetos de usuario por parte de autores, así como registros de errores que indiquen intentos de acceso a recursos restringidos.

Alcance afectado

Las versiones de Molongui Authorship hasta la 4.7.7 están afectadas por esta vulnerabilidad. Se debe verificar la instalación del plugin para determinar si está en uso.