Visual Website Collaboration, Feedback & Project Management – Atarim <= 4.0.9 - Missing Authorization to Authenticated (Subscriber+) Project Page/File Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Atarim Visual Collaboration, que permite a usuarios autenticados con rol de suscriptor o superior eliminar páginas y archivos de proyectos. Esta falla afecta a las versiones hasta la 4.0.9 del plugin.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en las funciones que gestionan la eliminación de páginas y archivos de proyectos. Esto permite que los usuarios con permisos limitados realicen acciones no autorizadas, comprometiendo la integridad del contenido del sitio.

Impacto potencial

El impacto potencial incluye la pérdida de datos críticos y la posibilidad de que usuarios malintencionados eliminen información valiosa, lo que podría afectar la operativa del negocio y la confianza de los usuarios en la plataforma.

Vector de explotación

Normalmente, esta vulnerabilidad se explota mediante la manipulación de solicitudes HTTP por parte de un usuario autenticado que intenta eliminar recursos sin los permisos necesarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Atarim a la versión 4.1.0 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar políticas de control de acceso más estrictas.

Señales de detección

Señales de posible explotación incluyen registros de eliminación de archivos o páginas por usuarios que no deberían tener esos permisos, así como auditorías de seguridad que muestren accesos inusuales.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Atarim hasta la 4.0.9. Las instalaciones que no han sido actualizadas a la versión 4.1.0 o superior están en riesgo.