ShortPixel Adaptive Images <= 3.8.2 - Missing Authorization in activate_ai_handler and deactivate_ai_handler

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin ShortPixel Adaptive Images, que afecta a las versiones hasta la 3.8.2. Esta vulnerabilidad puede ser explotada para activar o desactivar funcionalidades sin la debida autorización.

Contexto técnico

El fallo se encuentra en los manejadores 'activate_ai_handler' y 'deactivate_ai_handler', donde no se implementan correctamente los controles de autorización. Esto permite a usuarios no autorizados realizar acciones que deberían estar restringidas.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la configuración del plugin, lo que podría afectar el rendimiento del sitio web y, en última instancia, la experiencia del usuario. Además, podría abrir la puerta a ataques más graves si se combina con otras vulnerabilidades.

Vector de explotación

Los atacantes pueden aprovechar la falta de autorización al enviar solicitudes maliciosas a los endpoints afectados, lo que les permite ejecutar acciones no autorizadas en el plugin.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 3.8.3 o posterior para cerrar la vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar restricciones adicionales en la gestión de plugins.

Señales de detección

Se deben monitorizar los logs del servidor en busca de solicitudes inusuales hacia los manejadores 'activate_ai_handler' y 'deactivate_ai_handler', así como cualquier cambio inesperado en la configuración del plugin.

Alcance afectado

Las versiones del plugin ShortPixel Adaptive Images hasta la 3.8.2 están afectadas por esta vulnerabilidad. Las instalaciones que no han actualizado a la versión 3.8.3 o superior son vulnerables.