PPWP – Password Protect Pages <= 1.9.10 - Authenticated (Subscriber+) Content Exposure via REST API

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin PPWP – Password Protect Pages, que permite la exposición de contenido autenticado a través de la REST API. Esta vulnerabilidad afecta a las versiones anteriores a la 1.9.11 y tiene una severidad media.

Contexto técnico

La vulnerabilidad se origina en la gestión inadecuada de las solicitudes a la REST API, lo que permite a usuarios autenticados (con rol de suscriptor o superior) acceder a contenido que debería estar protegido. Esto puede dar lugar a la divulgación no autorizada de información sensible.

Impacto potencial

El impacto potencial incluye la exposición de contenido confidencial, lo que podría comprometer la privacidad de los usuarios y la integridad de la información en el sitio. Esto puede afectar la confianza del cliente y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes a la REST API para acceder a contenido que debería estar restringido, aprovechando el acceso de usuarios autenticados.

Mitigación recomendada

Actualizar el plugin PPWP – Password Protect Pages a la versión 1.9.11 o superior. Además, se recomienda revisar las configuraciones de acceso y las políticas de permisos para asegurar que solo los usuarios autorizados puedan acceder a contenido sensible.

Señales de detección

Señales de riesgo pueden incluir accesos inusuales a la REST API por parte de usuarios autenticados, así como reportes de acceso no autorizado a contenido protegido.

Alcance afectado

Las versiones del plugin PPWP – Password Protect Pages hasta la 1.9.10 están afectadas. Se recomienda a los administradores de WordPress verificar las versiones instaladas y proceder a la actualización.