Password Policy Manager | Password Manager <= 2.0.5 - Missing Authorization to Authenticated (Subscriber+) Configuration Log Out

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Password Policy Manager' que afecta a versiones anteriores a la 2.0.6. Esta falla permite a usuarios autenticados con rol de suscriptor o superior acceder a configuraciones restringidas.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados en el registro de configuraciones del plugin, lo que permite a usuarios no autorizados realizar cambios en la configuración del sistema.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la seguridad del sitio, permitiendo a usuarios malintencionados modificar políticas de contraseñas y potencialmente acceder a información sensible o realizar acciones no autorizadas.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad accediendo a la interfaz del plugin y manipulando configuraciones sin los permisos adecuados, lo que puede llevar a un acceso no autorizado a funciones críticas.

Mitigación recomendada

Actualizar el plugin 'Password Policy Manager' a la versión 2.0.6 o superior. Además, se recomienda revisar los permisos de usuario y aplicar políticas de seguridad adicionales para limitar el acceso a configuraciones sensibles.

Señales de detección

Señales de explotación pueden incluir cambios no autorizados en la configuración del plugin o intentos de acceso a funciones administrativas por parte de usuarios con roles limitados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.0.6 del plugin 'Password Policy Manager'.