Auto Ad Inserter – Increase Google Adsense and Ad Manager Revenue <= 1.5 - Missing Authorization to Authenticated (Editor+) Settings Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de baja severidad en el plugin 'Auto Ad Inserter' que permite a usuarios autenticados con rol de Editor o superior actualizar configuraciones sin la autorización adecuada. Esta falla podría comprometer la integridad de la configuración del plugin.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización al modificar ajustes del plugin. Esto permite que un usuario autenticado, pero no autorizado, realice cambios en la configuración que deberían estar restringidos a administradores, afectando así la seguridad del sistema.

Impacto potencial

Aunque la severidad se clasifica como baja, el impacto puede ser significativo si un usuario malintencionado obtiene acceso al rol de Editor. Podría alterar la configuración de anuncios, afectando potencialmente los ingresos y la visibilidad del sitio.

Vector de explotación

La explotación de esta vulnerabilidad se puede realizar mediante el acceso a la interfaz de administración del plugin, donde un usuario con permisos insuficientes puede intentar modificar los ajustes sin la debida autorización.

Mitigación recomendada

Actualizar el plugin 'Auto Ad Inserter' a la versión 1.5.1 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los roles y permisos de los usuarios para limitar el acceso a configuraciones críticas.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin, así como la creación de registros de actividad inusuales por parte de usuarios con permisos de Editor.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin 'Auto Ad Inserter' hasta la versión 1.5.1, publicada el 24 de febrero de 2025.