Aiomatic - AI Content Writer, Editor, ChatBot & AI Toolkit <= 2.3.6 - Missing Authorization to Authenticated (Subscriber+) Multiple Administrator Actions

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo medio en el plugin Aiomatic - AI Content Writer, Editor, ChatBot & AI Toolkit, que permite a usuarios autenticados con rol de suscriptor realizar acciones reservadas a administradores. Esta falla afecta a las versiones hasta 2.3.6 y ha sido corregida en la versión 2.3.7.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada en múltiples acciones que deberían estar restringidas a usuarios con privilegios de administrador. Esto permite que un usuario con rol de suscriptor o superior ejecute funciones que comprometen la integridad del sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que usuarios malintencionados, con acceso limitado, puedan realizar cambios no autorizados en el contenido o la configuración del sitio, lo que podría llevar a la pérdida de datos o a la toma de control del sitio web.

Vector de explotación

La explotación de esta vulnerabilidad suele llevarse a cabo mediante la manipulación de solicitudes HTTP que invocan las funciones administrativas del plugin sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Aiomatic a la versión 2.3.7 o superior. Además, es aconsejable revisar los roles y permisos asignados a los usuarios en el sitio.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en la configuración del plugin, registros de acceso inusuales por parte de usuarios con roles bajos, o la ejecución de acciones administrativas no autorizadas.

Alcance afectado

Las versiones del plugin Aiomatic hasta la 2.3.6 son las afectadas. La vulnerabilidad ha sido corregida en la versión 2.3.7, publicada el 7 de marzo de 2025.