Rankology SEO – On-site SEO <= 2.2.4 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Rankology SEO, que permite a usuarios autenticados con rol de suscriptor o superior realizar actualizaciones arbitrarias de opciones. Esta falla, clasificada con un CVSS de 8.8, representa un riesgo significativo para la seguridad de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada para la actualización de opciones dentro del plugin Rankology SEO, específicamente en versiones hasta la 2.2.4. Esto permite a usuarios no autorizados manipular configuraciones críticas del plugin, afectando la integridad del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a atacantes con acceso limitado modificar configuraciones del sitio, lo que podría llevar a la pérdida de datos, alteraciones en el rendimiento del SEO, o incluso comprometer la seguridad general del sitio web.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad mediante la autenticación como suscriptores o roles superiores, utilizando peticiones maliciosas para actualizar opciones sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Rankology SEO a la versión 2.2.5 o superior. Además, se sugiere revisar los roles y permisos de los usuarios en el sitio para limitar el acceso a funciones críticas.

Señales de detección

Señales de riesgo pueden incluir cambios no autorizados en las configuraciones del plugin, así como comportamientos inusuales en las cuentas de usuario con roles de suscriptor o superiores.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.2.5 del plugin Rankology SEO, lanzado antes del 10 de abril de 2025.