Ivory Search – WordPress Search Plugin <= 5.5.5 - Missing Authorization to Authenticated (Subscriber+) Index Creation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo medio en el plugin Ivory Search para WordPress, que afecta a las versiones hasta la 5.5.5. Esta falla permite la creación de índices sin la autorización adecuada para usuarios autenticados con rol de suscriptor o superior.

Contexto técnico

La vulnerabilidad radica en la falta de control de acceso en la funcionalidad de creación de índices del plugin. Esto permite que usuarios con privilegios limitados puedan realizar acciones que deberían estar restringidas, comprometiendo así la integridad del sistema.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede incluir la creación no autorizada de contenido indexado, lo que podría llevar a la exposición de información sensible o a la alteración del comportamiento del sitio. Esto podría afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo al panel de administración con credenciales de usuario autenticado (suscriptor o superior) y utilizando las funciones del plugin para crear índices sin la debida autorización.

Mitigación recomendada

Se recomienda actualizar el plugin Ivory Search a la versión 5.5.6 o posterior, donde esta vulnerabilidad ha sido corregida. Además, se sugiere revisar los permisos de los usuarios y aplicar políticas de seguridad más estrictas en la gestión de roles.

Señales de detección

Se pueden detectar intentos de explotación mediante registros de actividad inusuales en la creación de índices o cambios no autorizados en el contenido del sitio. Monitorear los logs de acceso puede ayudar a identificar accesos sospechosos.

Alcance afectado

Las versiones de Ivory Search hasta la 5.5.5 son las afectadas por esta vulnerabilidad. Las instalaciones que utilicen estas versiones deben ser consideradas en riesgo.