Motors – Car Dealership & Classified Listings Plugin <= 1.4.66 - Missing Authorization to Authenticated (Subscriber+) Wizard Set-up

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Motors – Car Dealership & Classified Listings, que afecta a versiones hasta la 1.4.66. Esta falla permite a usuarios autenticados con rol de suscriptor o superior acceder a configuraciones del asistente de configuración sin los permisos adecuados.

Contexto técnico

La vulnerabilidad radica en la falta de controles adecuados de autorización, lo que permite a usuarios no autorizados realizar configuraciones que deberían estar restringidas a administradores. Esto representa una superficie de ataque que puede ser explotada a través de la interfaz del plugin.

Impacto potencial

El impacto potencial incluye la posibilidad de que usuarios no autorizados modifiquen configuraciones críticas del plugin, lo que podría comprometer la integridad de la instalación de WordPress y afectar la confianza de los clientes en el sitio web.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad accediendo al asistente de configuración del plugin tras autenticarse como suscriptores, lo que les permitiría realizar cambios no autorizados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.4.67 o superior. Además, se sugiere revisar los permisos de usuario y aplicar buenas prácticas de gestión de roles en WordPress.

Señales de detección

Señales de riesgo incluyen intentos de acceso al asistente de configuración por parte de usuarios con roles inadecuados, así como cambios no autorizados en la configuración del plugin.

Alcance afectado

Las versiones del plugin Motors – Car Dealership & Classified Listings hasta la 1.4.66 están afectadas. Las versiones posteriores no presentan esta vulnerabilidad.