Originality.ai AI Checker <= 1.0.15 - Missing Authorization to Authenticated (Subscriber+) Scan Log Deletion via ' ai_scan_result_remove'

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Originality.ai AI Checker, que permite la eliminación de registros de escaneo sin la autorización adecuada para usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad tiene una severidad media, con un CVSS de 4.3.

Contexto técnico

El fallo se origina en la falta de control de acceso en la función 'ai_scan_result_remove', lo que permite a usuarios no autorizados eliminar registros de escaneo. Esto representa un riesgo significativo, ya que compromete la integridad de los datos del plugin.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la pérdida de datos críticos relacionados con los escaneos realizados, afectando la capacidad de los administradores para monitorear y gestionar la seguridad del sitio. Esto podría derivar en un aumento de riesgos de seguridad y una posible pérdida de confianza por parte de los usuarios.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes maliciosas a la función vulnerable, lo que les permitiría eliminar registros de escaneo sin la debida autorización.

Mitigación recomendada

Se recomienda actualizar el plugin Originality.ai AI Checker a la versión 1.0.16 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de hardening en la configuración del sitio.

Señales de detección

Se pueden detectar intentos de explotación mediante registros de acceso que muestren solicitudes inusuales a la función 'ai_scan_result_remove', especialmente por parte de usuarios con permisos limitados.

Alcance afectado

La vulnerabilidad afecta a las versiones del plugin Originality.ai AI Checker hasta la 1.0.15. Todas las instalaciones que utilicen estas versiones están en riesgo.