Poll Maker – Best WordPress Poll Plugin <= 5.1.8 - Missing Authorization to Unauthenticated Email Enumeration

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Poll Maker para WordPress, que afecta a las versiones anteriores a la 5.1.9. Esta vulnerabilidad permite la enumeración de correos electrónicos no autenticados, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de controles adecuados de autorización, lo que permite a usuarios no autenticados realizar enumeraciones de direcciones de correo electrónico. Esto se produce en el contexto de las funcionalidades del plugin Poll Maker, que no valida correctamente las solicitudes de acceso a ciertos recursos.

Impacto potencial

El impacto potencial incluye la exposición de direcciones de correo electrónico de usuarios, lo que puede llevar a ataques de phishing y otros tipos de abusos. Esto puede afectar la reputación del negocio y la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes específicas al plugin para obtener información sobre correos electrónicos sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar el plugin Poll Maker a la versión 5.1.9 o superior para cerrar la vulnerabilidad. Además, se recomienda revisar las configuraciones de seguridad y aplicar medidas de hardening en general.

Señales de detección

Señales de riesgo incluyen un aumento inusual en las solicitudes al plugin Poll Maker desde direcciones IP no reconocidas y patrones de acceso que intentan enumerar correos electrónicos.

Alcance afectado

Las versiones del plugin Poll Maker hasta la 5.1.8 están afectadas. Se recomienda a los administradores de sitios web que verifiquen la versión instalada del plugin.