AI Power: Complete AI Pack <= 1.8.96 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Shortcode Execution

Resumen ejecutivo

Se ha identificado una vulnerabilidad de ejecución arbitraria de shortcodes en el plugin 'AI Power: Complete AI Pack' en versiones hasta 1.8.96. Esta falla permite a usuarios autenticados con rol de suscriptor o superior ejecutar shortcodes sin la autorización adecuada.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización en la ejecución de shortcodes, lo que permite a los usuarios con privilegios limitados ejecutar código potencialmente malicioso. Esto representa un vector de ataque que puede ser explotado a través de la interfaz del plugin.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar código no autorizado, lo que podría comprometer la integridad del sitio web, afectar la experiencia del usuario y poner en riesgo datos sensibles.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad accediendo a la funcionalidad del plugin como usuarios autenticados y ejecutando shortcodes maliciosos que pueden alterar el comportamiento del sitio.

Mitigación recomendada

Actualizar el plugin 'AI Power: Complete AI Pack' a la versión 1.8.97 o posterior. Además, se recomienda revisar los permisos de los usuarios y aplicar políticas de acceso más estrictas para minimizar riesgos futuros.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en el contenido del sitio, ejecución de shortcodes no autorizados y alertas de actividad inusual por parte de usuarios autenticados.

Alcance afectado

Las versiones del plugin 'AI Power: Complete AI Pack' hasta la 1.8.96 son vulnerables. Se recomienda a todos los usuarios de estas versiones realizar la actualización inmediatamente.