Email Subscribers & Newsletters <= 5.9.10 - Missing Authentication to Unauthenticated Action Scheduler Task Execution

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin 'Email Subscribers & Newsletters' en versiones hasta la 5.9.10. Esta falla permite la ejecución de tareas programadas sin la debida autenticación, lo que podría comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de autenticación para la ejecución de tareas programadas dentro del plugin. Esto significa que un atacante podría ejecutar acciones no autorizadas mediante el uso del programador de tareas (Action Scheduler) sin necesidad de estar autenticado.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que un atacante ejecute tareas maliciosas, lo que podría llevar a la divulgación de información sensible o a la manipulación del contenido del sitio. Esto podría afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a las tareas programadas del plugin, lo que les permite ejecutar acciones no autorizadas sin necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin 'Email Subscribers & Newsletters' a la versión 5.9.11 o superior. Además, es aconsejable revisar la configuración de seguridad y aplicar buenas prácticas de hardening en el sitio.

Señales de detección

Señales de posible explotación incluyen un aumento inusual en las solicitudes a las tareas programadas del plugin, así como registros de actividad sospechosa en el sistema que no corresponden a usuarios autenticados.

Alcance afectado

Las versiones afectadas de este plugin son todas las anteriores a la 5.9.11. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión y apliquen las actualizaciones necesarias.