Page Builder Sandwich <= 5.1.0 - Missing Authorization to Authenticated(Subscriber+) Arbitrary Post Editing

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Page Builder Sandwich, que permite a usuarios autenticados con rol de suscriptor o superior editar publicaciones de forma arbitraria. Esta falla presenta un riesgo medio, con un CVSS de 6.5.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para los usuarios autenticados, lo que les permite realizar ediciones no autorizadas en las publicaciones del sitio. Esto afecta a la integridad del contenido y puede ser explotado por cualquier usuario con permisos de suscriptor o superiores.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados modificar contenido crítico, lo que puede llevar a la desinformación o manipulación del sitio. Esto podría afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo al panel de administración del sitio con credenciales de suscriptor o superiores y utilizando las funciones de edición de publicaciones para realizar cambios no autorizados.

Mitigación recomendada

Se recomienda actualizar el plugin Page Builder Sandwich a la versión 5.1.0 o superior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable revisar los roles y permisos de los usuarios para limitar el acceso a funciones críticas.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en publicaciones, accesos no autorizados a la administración del sitio y la creación de contenido inusual por parte de usuarios con permisos limitados.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones del plugin Page Builder Sandwich en versiones anteriores a la 5.1.0.