ShortPixel Image Optimizer <= 6.3.4 - Authenticated (Contributor+) Settings Import/Export

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo medio en el plugin ShortPixel Image Optimizer, que afecta a las versiones hasta la 6.3.4. Esta vulnerabilidad permite a usuarios autenticados con rol de colaborador o superior realizar importaciones y exportaciones de configuraciones de manera no segura.

Contexto técnico

La vulnerabilidad se presenta en la funcionalidad de importación/exportación de configuraciones del plugin, lo que puede permitir a un atacante con privilegios de colaborador o superiores manipular ajustes críticos del plugin sin la debida autorización.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante modifique configuraciones del plugin, lo que podría afectar la optimización de imágenes y, en consecuencia, la carga y rendimiento del sitio web. Esto podría llevar a una degradación de la experiencia del usuario y afectar la reputación del negocio.

Vector de explotación

La explotación suele realizarse mediante la autenticación como colaborador o usuario con privilegios superiores, seguido de la manipulación de las funciones de importación/exportación del plugin.

Mitigación recomendada

Actualizar el plugin ShortPixel Image Optimizer a la versión 6.3.5 o superior. Además, se recomienda revisar los roles y permisos de los usuarios para limitar el acceso a funciones críticas.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en las configuraciones del plugin o actividad inusual en las cuentas de usuarios con privilegios elevados.

Alcance afectado

Las versiones afectadas del plugin son todas las anteriores a la 6.3.5. Se recomienda a los administradores de WordPress verificar la versión instalada.