WP Compress <= 6.30.15 - Authenticated (Subscriber+) Missing Authorization via Multiple Functions

Resumen ejecutivo

Se ha identificado una vulnerabilidad de alta gravedad en el plugin WP Compress, que afecta a las versiones hasta la 6.30.15. Esta vulnerabilidad permite la falta de autorización en múltiples funciones para usuarios autenticados con roles de suscriptor y superiores.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados en varias funciones del plugin. Esto permite a los usuarios no autorizados realizar acciones que deberían estar restringidas, comprometiendo así la integridad del sistema.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante autenticado realizar acciones no autorizadas, lo que podría llevar a la manipulación de imágenes o a la obtención de información sensible. Esto representa un riesgo significativo para la seguridad y la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad accediendo al sistema como usuarios autenticados con permisos de suscriptor o superiores, y luego invocando las funciones vulnerables sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WP Compress a la versión 6.30.16 o superior. Además, se sugiere revisar los permisos de usuario y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de posible explotación incluyen actividades inusuales por parte de usuarios autenticados, como cambios en la configuración del plugin o accesos a funciones restringidas.

Alcance afectado

Las versiones del plugin WP Compress hasta la 6.30.15 están afectadas. Es crucial verificar las instalaciones para asegurar que no se esté utilizando una versión vulnerable.