Login Page Customizer – Customizer Login Page, Admin Page, Custom Design <= 2.1.1 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Login Page Customizer' en versiones anteriores a la 2.1.2. Esta falla podría permitir a usuarios no autorizados realizar acciones no permitidas en el sistema.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados en el plugin 'Login Page Customizer', lo que permite a un atacante acceder a funciones restringidas. La superficie de ataque se centra en las funcionalidades del plugin que gestionan la personalización de la página de inicio de sesión.

Impacto potencial

El impacto potencial incluye el acceso no autorizado a áreas administrativas del sitio, comprometiendo la integridad y confidencialidad de los datos. Esto puede llevar a un deterioro de la confianza del usuario y posibles pérdidas económicas.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que no están debidamente protegidas por controles de autorización.

Mitigación recomendada

Actualizar el plugin a la versión 2.1.2 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales en la configuración del sitio.

Señales de detección

Señales de posible explotación incluyen intentos de acceso a funciones del plugin sin las credenciales adecuadas, así como registros de actividad inusual en el acceso a la página de inicio de sesión.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.1.2 del plugin 'Login Page Customizer'.