Fuente base de datos: Wordfence Intelligence

Easy Property Listings <= 3.5.3 - Missing Authorization via epl_update_listing_coordinates()

PLUGIN MEDIUM CVE-2024-32799

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Easy Property Listings, que afecta a las versiones hasta la 3.5.3. Esta vulnerabilidad permite que usuarios no autorizados puedan realizar actualizaciones en las coordenadas de las listas de propiedades.

Contexto técnico

La vulnerabilidad se encuentra en la función epl_update_listing_coordinates(), que no implementa correctamente las comprobaciones de autorización. Esto permite que cualquier usuario, incluso aquellos sin privilegios adecuados, pueda modificar información sensible relacionada con las propiedades.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, dado que podría permitir a un atacante manipular datos de propiedades, lo que podría llevar a una pérdida de confianza por parte de los usuarios y afectar la integridad del sitio web.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando peticiones maliciosas a la función vulnerable, lo que les permite modificar las coordenadas de las propiedades sin necesidad de autenticación adecuada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Easy Property Listings a la versión 3.5.4 o superior. Además, se sugiere revisar los permisos de los usuarios que tienen acceso a la gestión de propiedades.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en las coordenadas de las propiedades y registros de acceso inusuales en la función epl_update_listing_coordinates().

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Easy Property Listings hasta la 3.5.3. La versión 3.5.4 y posteriores ya han solucionado esta vulnerabilidad.