WPSSO Core <= 18.18.1 - Missing Authorization (falta de autorizacion) - version 18.18.2

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin WPSSO Core, que afecta a las versiones hasta la 18.18.1. Esta vulnerabilidad tiene una severidad media y puede comprometer la seguridad de las instalaciones afectadas.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados, lo que permite a usuarios no autenticados acceder a funcionalidades restringidas del plugin. Esto amplía la superficie de ataque, facilitando potencialmente el acceso no autorizado a información sensible.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes acceder a datos que deberían estar protegidos, lo que podría resultar en la exposición de información confidencial y en la pérdida de confianza por parte de los usuarios.

Vector de explotación

Generalmente, la explotación se realiza mediante el envío de solicitudes maliciosas a las funciones del plugin que no cuentan con la validación de autorización adecuada, permitiendo así acceder a datos restringidos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WPSSO Core a la versión 18.18.2 o superior. Además, es aconsejable revisar y reforzar las configuraciones de seguridad del sitio y realizar auditorías periódicas de los plugins instalados.

Señales de detección

Señales de riesgo incluyen registros de accesos no autorizados a funciones del plugin o intentos de acceso a áreas restringidas sin la debida autenticación.

Alcance afectado

Las versiones del plugin WPSSO Core hasta la 18.18.1 son las afectadas. Los usuarios que no hayan actualizado a la versión 18.18.2 o superior están en riesgo.