Classified Listing – AI-Powered Classified ads & Business Directory Plugin <= 5.2.0 - Missing Authorization to Authenticated (Subscriber+) Listing Types Tampering

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Classified Listing, que permite la manipulación de tipos de anuncios por usuarios autenticados con rol de suscriptor o superior. Esta falla afecta a las versiones hasta la 5.2.0 y puede comprometer la integridad de los anuncios publicados.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para la modificación de ciertos tipos de listados en el plugin. Esto permite que usuarios con privilegios limitados realicen cambios no autorizados en anuncios que deberían estar restringidos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a los usuarios no autorizados alterar anuncios, lo que podría llevar a la difusión de información incorrecta o maliciosa y afectar la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad accediendo al panel de administración con credenciales de usuario autenticado y manipulando listados sin la debida autorización.

Mitigación recomendada

Actualizar el plugin Classified Listing a la versión 5.2.1 o superior es crucial para mitigar esta vulnerabilidad. Además, se recomienda revisar los permisos de los roles de usuario y aplicar buenas prácticas de seguridad en la gestión de usuarios.

Señales de detección

Se deben monitorizar cambios inusuales en los listados de anuncios, así como accesos no autorizados o intentos de modificación por parte de usuarios con roles limitados.

Alcance afectado

Las versiones del plugin Classified Listing hasta la 5.2.0 son vulnerables. Se recomienda verificar todas las instalaciones que utilicen este plugin.