MediaCommander – Bring Folders to Media, Posts, and Pages <= 2.3.1 - Missing Authorization to Authenticated (Author+) Media Folder Deletion

Resumen ejecutivo

La vulnerabilidad en el plugin MediaCommander permite la eliminación no autorizada de carpetas de medios por usuarios autenticados con rol de autor o superior. Esta falla afecta a las versiones hasta la 2.3.1 y se solucionó en la versión 2.4.0.

Contexto técnico

El fallo se origina por la falta de controles de autorización adecuados en la funcionalidad de eliminación de carpetas en el plugin MediaCommander. Esto permite a los usuarios con privilegios de autor eliminar carpetas de medios sin la debida autorización, lo que compromete la integridad del contenido del sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que puede resultar en la pérdida de datos importantes y la alteración del contenido del sitio web. Además, puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a la función de eliminación de carpetas mediante una solicitud maliciosa, aprovechando su rol de autor o superior para ejecutar la acción sin autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin MediaCommander a la versión 2.4.0 o superior. Además, se deben revisar los permisos de usuario y aplicar controles de acceso más estrictos para las funciones críticas del sitio.

Señales de detección

Señales de riesgo incluyen registros de eliminación de carpetas no autorizadas, cambios inesperados en la estructura de medios y alertas de acceso inusual por parte de usuarios con rol de autor.

Alcance afectado

Las versiones afectadas son todas las versiones de MediaCommander hasta la 2.3.1. Las instalaciones que utilizan estas versiones son vulnerables a la explotación.