WP Compress – Image Optimizer [All-In-One] <= 6.20.01 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin WP Compress – Image Optimizer, que afecta a las versiones hasta la 6.20.01. Esta falla permite a usuarios no autorizados realizar acciones no permitidas, lo que puede comprometer la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en el plugin, lo que permite a atacantes potenciales acceder a funcionalidades restringidas. La superficie de ataque se centra en las funciones del plugin que no requieren autenticación previa.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante no autenticado manipular imágenes o acceder a datos sensibles del sitio, afectando tanto la integridad del contenido como la confianza de los usuarios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que no cuentan con la debida verificación de autorización, permitiendo así realizar acciones no autorizadas.

Mitigación recomendada

Se recomienda actualizar el plugin WP Compress – Image Optimizer a la versión 6.20.02 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales en el sitio web.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales a funciones del plugin y cambios inesperados en las imágenes o configuraciones del sitio.

Alcance afectado

Las versiones del plugin WP Compress – Image Optimizer hasta la 6.20.01 están afectadas. Se aconseja a los administradores de sitios que verifiquen si están utilizando versiones anteriores.