Image Sizes Controller, Create Custom Image Sizes, Disable Image Sizes <= 1.0.10 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Image Sizes Controller que permite la creación de tamaños de imagen personalizados. Esta falla, catalogada con una severidad media, podría comprometer la seguridad de las instalaciones afectadas.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados en las funciones del plugin, lo que permite a usuarios no autorizados realizar acciones que deberían estar restringidas. Esto expone la superficie de ataque a manipulaciones no deseadas en la gestión de imágenes.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la creación no autorizada de tamaños de imagen, lo que podría afectar la integridad de los medios de la web y potencialmente permitir la ejecución de código malicioso en el servidor, comprometiendo así la seguridad general del sitio.

Vector de explotación

Los atacantes podrían aprovechar esta vulnerabilidad enviando solicitudes maliciosas para crear o modificar tamaños de imagen sin la debida autorización, lo que podría resultar en un acceso no autorizado a funcionalidades del plugin.

Mitigación recomendada

Se recomienda actualizar el plugin Image Sizes Controller a la versión 1.0.10 o posterior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales, como la implementación de un firewall de aplicaciones web.

Señales de detección

Se pueden observar registros de actividad inusuales relacionados con la gestión de tamaños de imagen o intentos de acceso a funciones administrativas sin la debida autorización, lo que podría indicar un intento de explotación.

Alcance afectado

Las versiones del plugin Image Sizes Controller anteriores a la 1.0.10 son las que presentan esta vulnerabilidad, lo que afecta a todas las instalaciones que no han actualizado.