Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI <= 3.37.2 - Authenticated (Subscriber+) Information Exposure en Simple Tags (vulnerabilidad) - version 3.37.3

Resumen ejecutivo

Se ha identificado una vulnerabilidad de exposición de información en el plugin 'Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI' en versiones hasta la 3.37.2. Esta vulnerabilidad afecta a usuarios autenticados con rol de suscriptor o superior.

Contexto técnico

La vulnerabilidad permite a los usuarios autenticados acceder a información sensible que no debería estar disponible para su nivel de acceso. Esto se produce debido a una gestión inadecuada de los permisos en las funciones que exponen datos relacionados con las etiquetas y categorías.

Impacto potencial

El impacto potencial incluye la revelación de datos internos que podrían ser utilizados para realizar ataques más sofisticados o comprometer la integridad del sitio. Esto puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo al panel de administración con credenciales de suscriptor o superiores y utilizando funciones específicas del plugin para extraer información sensible.

Mitigación recomendada

Actualizar el plugin a la versión 3.37.3 o superior. Además, se recomienda revisar los permisos de usuario y aplicar principios de menor privilegio para limitar el acceso a información crítica.

Señales de detección

Señales de riesgo incluyen accesos inusuales a funciones del plugin por parte de usuarios con rol de suscriptor, así como intentos de acceso a datos que normalmente no deberían estar disponibles para ellos.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.37.3 del plugin 'Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI'.