Speed Optimizer <= 7.4.6 - Missing Authorization via purge_on_other_events()

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Speed Optimizer (SG CachePress) en versiones hasta la 7.4.6. Esta falla puede permitir acciones no autorizadas, afectando la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se origina en la función `purge_on_other_events()`, que carece de controles de autorización adecuados. Esto permite que usuarios no autorizados puedan purgar la caché del sitio, lo que podría resultar en la exposición de contenido sensible o en la interrupción del servicio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes potenciales modificar el comportamiento del sitio web, lo que puede llevar a la pérdida de datos o a la degradación del rendimiento del mismo. Además, puede afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la realización de solicitudes maliciosas que invocan la función vulnerable sin los permisos necesarios, permitiendo así la purga de caché no autorizada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Speed Optimizer a la versión 7.5.0 o superior. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de hardening en la configuración del servidor y del plugin.

Señales de detección

Las señales de posible explotación incluyen cambios inesperados en la caché del sitio o en el rendimiento del mismo, así como registros de accesos no autorizados en las funciones relacionadas con la purga de caché.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 7.5.0 del plugin Speed Optimizer (SG CachePress).