Ai Auto Tool Content Writing Assistant (Gemini Writer, ChatGPT ) All in One 2.0.7 - 2.3.0 - Missing Authorization to Authenticated (Subscriber+) Post Creation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Ai Auto Tool Content Writing Assistant, que permite a usuarios no autorizados crear publicaciones. Esta falla afecta a las versiones desde la 2.0.7 hasta la 2.3.0 y tiene una severidad media.

Contexto técnico

La vulnerabilidad se origina en la falta de controles adecuados de autorización, permitiendo que cualquier usuario autenticado con rol de suscriptor o superior cree publicaciones. Esto puede comprometer la integridad del contenido del sitio web.

Impacto potencial

El impacto potencial incluye la creación de contenido no autorizado, lo que puede dañar la reputación del sitio y afectar su posicionamiento en motores de búsqueda. Además, puede ser utilizado para insertar contenido malicioso.

Vector de explotación

La explotación se realiza mediante la autenticación como usuario suscriptor o superior y el envío de solicitudes para crear publicaciones sin las verificaciones de autorización adecuadas.

Mitigación recomendada

Actualizar el plugin a la versión 2.3.0 o superior, donde se ha corregido esta vulnerabilidad. Además, revisar los permisos de usuario y considerar la implementación de políticas de seguridad más estrictas.

Señales de detección

Señales de riesgo incluyen la creación inusual de publicaciones por parte de usuarios con permisos limitados y registros de actividad sospechosa en el panel de administración.

Alcance afectado

Las versiones afectadas son desde la 2.0.7 hasta la 2.3.0 del plugin Ai Auto Tool Content Writing Assistant.