Fuente base de datos: Wordfence Intelligence

AWP Classifieds <= 4.3.1 - Missing Authorization

PLUGIN MEDIUM CVE-2024-31350

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin AWP Classifieds en versiones hasta la 4.3.1, que podría permitir accesos no autorizados. Esta vulnerabilidad tiene una severidad media y se ha asignado el CVE-2024-31350.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en el plugin AWP Classifieds, lo que permite que usuarios no autenticados realicen acciones que deberían estar restringidas. Esto afecta a la superficie de ataque al permitir manipulaciones en la gestión de clasificados.

Impacto potencial

Si se explota, esta vulnerabilidad podría comprometer la integridad de los datos gestionados por el plugin, permitiendo a atacantes realizar acciones no autorizadas, lo que podría afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas al servidor, eludiendo así los mecanismos de autorización. Esto se puede realizar sin necesidad de ser un usuario registrado.

Mitigación recomendada

Actualizar el plugin AWP Classifieds a la versión 4.3.2 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de hardening en la instalación de WordPress.

Señales de detección

Se deben monitorizar logs de acceso y actividad inusual en el plugin, así como alertas sobre intentos de acceso no autorizados a funcionalidades restringidas.

Alcance afectado

Las versiones del plugin AWP Classifieds hasta la 4.3.1 son vulnerables. La versión 4.3.2 y posteriores han sido corregidas.