All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic <= 4.8.9 - Missing Authorization to Authenticated (Contributor+) Arbitrary Media Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de eliminación arbitraria de medios en el plugin All in One SEO, que afecta a las versiones hasta la 4.8.9. Esta falla permite a usuarios autenticados con rol de colaborador o superior eliminar medios sin la autorización adecuada.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados al gestionar la eliminación de archivos multimedia. Esto permite que usuarios con permisos insuficientes puedan realizar acciones no permitidas, comprometiendo la integridad del contenido del sitio.

Impacto potencial

El impacto potencial incluye la pérdida de medios importantes y la posible alteración del contenido del sitio, lo que podría afectar la experiencia del usuario y la reputación del negocio. Además, la explotación de esta vulnerabilidad podría facilitar ataques más complejos.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante el envío de solicitudes maliciosas a través de la interfaz del plugin, aprovechando la falta de comprobaciones de permisos en las funciones de eliminación de medios.

Mitigación recomendada

Se recomienda actualizar el plugin All in One SEO a la versión 4.9.0 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los roles y permisos de los usuarios para asegurar que solo los usuarios autorizados tengan acceso a la eliminación de medios.

Señales de detección

Las señales de riesgo incluyen registros de eliminación de medios por parte de usuarios que no deberían tener ese privilegio, así como cambios inusuales en el contenido multimedia del sitio.

Alcance afectado

Las versiones del plugin All in One SEO hasta la 4.8.9 son las afectadas. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión y apliquen las actualizaciones necesarias.