Login As Users <= 1.4.3 - Missing Authorization to Privielge Escalation via Account Takeover

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Login As Users' que permite la escalada de privilegios a través de la toma de control de cuentas. Esta falla afecta a las versiones hasta la 1.4.3 y se ha calificado con un CVSS de 8.8.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada, lo que permite a un usuario no autorizado acceder a funciones de administración al suplantar la identidad de otros usuarios. Esto se convierte en una superficie de ataque significativa para administradores y usuarios con privilegios elevados.

Impacto potencial

El impacto potencial incluye la posibilidad de que atacantes obtengan acceso no autorizado a información sensible y la capacidad de realizar cambios en la configuración del sitio, lo que puede comprometer la integridad y disponibilidad del mismo.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad manipulando solicitudes para tomar el control de cuentas de otros usuarios, especialmente aquellas con privilegios administrativos, sin necesidad de credenciales válidas.

Mitigación recomendada

Se recomienda actualizar el plugin 'Login As Users' a la versión 1.4.4 o superior. Además, es aconsejable revisar los registros de acceso y cambiar las contraseñas de cuentas afectadas.

Señales de detección

Señales de riesgo incluyen accesos inusuales a cuentas de usuario y cambios en la configuración del plugin sin autorización. Monitorizar los registros de actividad puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones del plugin 'Login As Users' anteriores a la 1.4.4 están afectadas. Se recomienda a todos los usuarios de este plugin realizar la actualización correspondiente.