myCred <= 2.9.4.3 - Authenticated (Subscriber+) Race Condition (vulnerabilidad) - version 2.9.4.4

Resumen ejecutivo

Se ha identificado una vulnerabilidad de condición de carrera en el plugin myCred, afectando a versiones hasta la 2.9.4.3. Esta vulnerabilidad permite a usuarios autenticados con rol de suscriptor o superior potencialmente comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en una condición de carrera que puede ser explotada por usuarios autenticados. Esta falla se encuentra en la lógica del plugin, donde múltiples solicitudes simultáneas pueden provocar un comportamiento inesperado y no deseado.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a los atacantes autenticados manipular el comportamiento del plugin, lo que podría llevar a la pérdida de datos o a la escalación de privilegios. Esto, a su vez, podría comprometer la integridad y disponibilidad del sitio web.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante el envío de múltiples solicitudes concurrentes por parte de un usuario autenticado, lo que puede llevar a la ejecución de acciones no autorizadas dentro del plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin myCred a la versión 2.9.4.4 o superior. Además, es aconsejable revisar los permisos de usuario y limitar el acceso a funciones críticas del plugin.

Señales de detección

Señales de posible explotación incluyen un aumento inusual en las solicitudes a funciones específicas del plugin por parte de usuarios autenticados, así como cambios inesperados en los datos gestionados por myCred.

Alcance afectado

Las versiones del plugin myCred hasta la 2.9.4.3 están afectadas. Las instalaciones que no hayan actualizado a la versión 2.9.4.4 o superior corren riesgo.