Duplicate Post, Page and Any Custom Post <= 3.5.5 - Authenticated (Contributor+) Post Disclosure via Post Duplication

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Duplicate Post, Page and Any Custom Post' en versiones hasta la 3.5.5, que permite la divulgación de publicaciones a usuarios autenticados con rol de colaborador o superior. Esta vulnerabilidad tiene una severidad media, con una puntuación CVSS de 4.3.

Contexto técnico

El fallo se produce durante el proceso de duplicación de publicaciones, donde no se gestionan adecuadamente los permisos de acceso. Esto permite a los usuarios con privilegios limitados acceder a contenido que debería estar restringido.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un colaborador acceder a publicaciones privadas o sensibles, lo que podría comprometer la confidencialidad de la información y afectar la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al duplicar publicaciones, lo que les permite acceder a contenido que no deberían poder ver, utilizando cuentas de usuario con rol de colaborador o superior.

Mitigación recomendada

Actualizar el plugin a la versión 3.5.6 o superior para cerrar la vulnerabilidad. Además, revisar los roles y permisos de los usuarios para garantizar que solo tengan acceso a lo necesario.

Señales de detección

Señales de riesgo incluyen accesos inusuales a publicaciones por parte de usuarios con rol de colaborador, así como registros de duplicación de publicaciones que no deberían ser accesibles.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.5.6. Se recomienda a los administradores de sitios que utilicen este plugin realizar la actualización de inmediato.