Grand Restaurant WordPress <= 7.0 - Missing Authorization to Unauthenticated Arbitrary Options Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el tema Grand Restaurant para WordPress, que permite la eliminación arbitraria de opciones sin autenticación. Esta falla afecta a las versiones anteriores a la 7.0 y tiene un CVSS de 8.2.

Contexto técnico

La vulnerabilidad se origina en un fallo de autorización que permite a usuarios no autenticados realizar acciones que deberían estar restringidas. Esto implica que cualquier persona puede eliminar configuraciones importantes del tema, comprometiendo su funcionalidad.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a la pérdida de datos críticos y a la desconfiguración del sitio web, lo que afectaría la reputación y la operativa del negocio. Además, podría abrir la puerta a ataques adicionales si se combinara con otras vulnerabilidades.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes maliciosas que no requieren autenticación, lo que les permite ejecutar comandos para eliminar opciones de configuración.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el tema Grand Restaurant a la versión 7.0 o superior. Además, se debe revisar la configuración de permisos y considerar implementar medidas de seguridad adicionales, como la autenticación de dos factores.

Señales de detección

Señales de riesgo incluyen registros de accesos inusuales o intentos de eliminación de opciones en el panel de administración, especialmente desde direcciones IP no reconocidas.

Alcance afectado

Las versiones de Grand Restaurant anteriores a la 7.0 están afectadas. Las instalaciones que no han sido actualizadas corren un alto riesgo.