Advanced Custom Fields <= 6.2.10 - Authenticated (Contributor+) Arbitrary Custom Field Access

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Advanced Custom Fields, que permite el acceso no autorizado a campos personalizados para usuarios autenticados con rol de colaborador o superior. Esta vulnerabilidad afecta a las versiones hasta la 6.2.10 y ha sido corregida en la versión 6.3.0.

Contexto técnico

La vulnerabilidad se origina en la gestión de permisos dentro del plugin, permitiendo a usuarios con privilegios limitados acceder a campos personalizados que deberían estar restringidos. Esto puede comprometer la integridad de los datos almacenados en el sitio.

Impacto potencial

El impacto de esta vulnerabilidad podría ser significativo, ya que permite a usuarios no autorizados manipular o visualizar información sensible, lo que puede llevar a la exposición de datos críticos y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad mediante la autenticación como usuarios con rol de colaborador o superior, accediendo a campos personalizados que no deberían estar disponibles para ellos.

Mitigación recomendada

Actualizar el plugin Advanced Custom Fields a la versión 6.3.0 o superior es fundamental para mitigar esta vulnerabilidad. Además, se recomienda revisar los permisos de los roles de usuario y aplicar un control más estricto sobre el acceso a campos personalizados.

Señales de detección

Se deben monitorear los registros de acceso y actividad de los usuarios para detectar patrones inusuales que puedan indicar un intento de explotación, como accesos no autorizados a campos personalizados.

Alcance afectado

Las versiones del plugin Advanced Custom Fields hasta la 6.2.10 son vulnerables. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión y apliquen la actualización correspondiente.