Beaver Builder – WordPress Page Builder <= 2.9.4 - Missing Authorization to Authenticated (Contributor+) Builder Status Tampering

Resumen ejecutivo

La vulnerabilidad identificada en Beaver Builder permite la manipulación del estado de constructor para usuarios autenticados con rol de colaborador o superior. Esta falla podría comprometer la integridad de los contenidos creados en WordPress.

Contexto técnico

El fallo radica en la falta de autorización adecuada para los usuarios autenticados que intentan modificar el estado del constructor en versiones anteriores a 2.9.4. Esto permite a los usuarios no autorizados realizar cambios no deseados en el contenido.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la alteración no autorizada de páginas y publicaciones, lo que podría dañar la reputación del negocio y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad accediendo a la interfaz de Beaver Builder con credenciales de usuario autenticado y manipulando el estado del constructor sin las autorizaciones necesarias.

Mitigación recomendada

Actualizar Beaver Builder a la versión 2.9.4.1 o superior para cerrar esta brecha de seguridad. Además, se recomienda revisar los roles y permisos de los usuarios para garantizar que solo los usuarios autorizados tengan acceso a funciones críticas.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en el contenido del sitio, así como registros de actividad inusuales de usuarios con rol de colaborador o superior.

Alcance afectado

Las versiones de Beaver Builder anteriores a la 2.9.4.1 están afectadas. Se recomienda a todos los usuarios de este plugin que realicen la actualización correspondiente.