Page Builder: Live Composer <= 1.5.38 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Page Builder: Live Composer, que afecta a las versiones hasta la 1.5.38. Esta debilidad puede permitir a un atacante realizar acciones no autorizadas en el sitio web.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en el plugin. Esto permite que usuarios no autenticados o malintencionados accedan a funcionalidades restringidas, comprometiendo la integridad del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser considerable, ya que permite a atacantes ejecutar acciones no autorizadas, lo que podría resultar en la modificación de contenido, la inyección de código malicioso o la exposición de datos sensibles, afectando la reputación y la seguridad del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas al servidor que no son correctamente validadas, lo que les permite eludir las restricciones de acceso y ejecutar acciones no permitidas.

Mitigación recomendada

Se recomienda actualizar el plugin Page Builder: Live Composer a la versión 1.5.39 o posterior. Además, es aconsejable revisar las configuraciones de seguridad del sitio y aplicar medidas de hardening como el uso de firewalls y monitoreo de accesos.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales, intentos de acceso a funciones restringidas y cambios inesperados en el contenido del sitio.

Alcance afectado

Las versiones del plugin Page Builder: Live Composer hasta la 1.5.38 están afectadas. Las instalaciones que no han actualizado a la versión 1.5.39 o superior corren un riesgo elevado.