Finale Lite <= 2.18.0 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Installation and Activation

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Finale Lite hasta la versión 2.18.0, que permite la instalación y activación arbitraria de plugins por usuarios autenticados con rol de suscriptor o superior. Este fallo se considera de severidad media con un CVSS de 5.4.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada, lo que permite a los usuarios con privilegios insuficientes realizar acciones que normalmente están restringidas, como la instalación y activación de otros plugins en la instalación de WordPress.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que un atacante instale plugins maliciosos que comprometan la seguridad del sitio web, lo que podría resultar en la pérdida de datos, alteración del contenido o incluso la toma de control total del sitio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo al panel de administración de WordPress con credenciales de usuario autenticado y aprovechando la falta de controles de acceso para instalar plugins no autorizados.

Mitigación recomendada

Se recomienda actualizar el plugin Finale Lite a la versión 2.18.1 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los roles y permisos de los usuarios para limitar el acceso a funcionalidades críticas.

Señales de detección

Señales de posible explotación incluyen la aparición de nuevos plugins instalados sin autorización o cambios inesperados en la configuración del sitio web que no han sido realizados por administradores.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Finale Lite hasta la 2.18.0. Se debe prestar especial atención a las instalaciones que permiten el acceso a usuarios con rol de suscriptor o superior.