Felan Framework <= 1.1.4 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Activation/Deactivation via process_plugin_actions

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Felan Framework, que permite la activación y desactivación arbitraria de plugins por usuarios autenticados con rol de suscriptor o superior. Esta falla afecta a las versiones hasta la 1.1.4 y ha sido corregida en la versión 1.1.5.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada en las acciones de gestión de plugins, permitiendo que usuarios con permisos limitados puedan ejecutar funciones que deberían estar restringidas a administradores. Esto expone el sistema a potenciales abusos y configuraciones no deseadas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante con acceso de suscriptor activar o desactivar plugins, lo que podría comprometer la seguridad del sitio, alterar su funcionalidad y afectar la experiencia del usuario.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la manipulación de solicitudes HTTP que invocan las acciones de gestión de plugins, aprovechando la falta de controles de autorización para ejecutar comandos no autorizados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Felan Framework a la versión 1.1.5 o superior. Además, se sugiere revisar los roles y permisos de los usuarios para limitar el acceso a funciones críticas.

Señales de detección

Las señales de posible explotación incluyen cambios inesperados en la activación o desactivación de plugins, así como registros de actividad inusuales de usuarios con permisos de suscriptor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.1.5 del plugin Felan Framework. Se recomienda a los administradores de WordPress que verifiquen la versión instalada de este plugin.