LoginPress Pro < 3.0 - Missing Authorization to License Status Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin LoginPress Pro, que afecta a versiones anteriores a la 3.0. Esta falla permite que un atacante no autorizado pueda acceder a información sobre el estado de la licencia del plugin.

Contexto técnico

La vulnerabilidad radica en la falta de controles adecuados de autorización al consultar el estado de la licencia del plugin. Esto permite que usuarios sin privilegios puedan realizar solicitudes que deberían estar restringidas.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría permitir a un atacante obtener información sensible sobre el estado de la licencia, lo que podría facilitar ataques adicionales o explotación de otros recursos del sistema.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante solicitudes HTTP manipuladas que intentan acceder al estado de la licencia sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin LoginPress Pro a la versión 3.0 o superior. Además, es aconsejable revisar los permisos y configuraciones de seguridad del sitio para limitar el acceso no autorizado.

Señales de detección

Señales de riesgo incluyen registros de solicitudes inusuales al endpoint de licencia del plugin, especialmente aquellas que no provienen de usuarios autenticados.

Alcance afectado

Las versiones del plugin LoginPress Pro anteriores a la 3.0 son las afectadas por esta vulnerabilidad.