Image Gallery – Photo Grid & Video Gallery <= 2.13.3 - Missing Authorization to Authenticated (Author+) Arbitrary Gallery Modification

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Image Gallery – Photo Grid & Video Gallery' en versiones hasta la 2.13.3, que permite la modificación arbitraria de galerías por usuarios autenticados con rol de autor o superior. Esta vulnerabilidad tiene una severidad media y un CVSS de 4.3.

Contexto técnico

El fallo se origina por la falta de una adecuada autorización en el proceso de modificación de galerías. Esto permite que usuarios con permisos de autor puedan realizar cambios no autorizados en las galerías, afectando la integridad del contenido.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a la alteración no deseada de las galerías de imágenes y vídeos, lo que podría afectar la presentación de contenidos en el sitio web y la confianza de los usuarios. Esto podría resultar en pérdidas económicas y daño a la reputación del negocio.

Vector de explotación

Los atacantes podrían aprovechar esta vulnerabilidad accediendo al panel de administración con cuentas de autor y realizando modificaciones en las galerías sin la autorización adecuada.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 2.13.4 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los roles y permisos asignados a los usuarios para limitar el acceso a funciones sensibles.

Señales de detección

Se deben monitorizar cambios inusuales en las galerías de imágenes y vídeos, así como accesos no autorizados por parte de usuarios con rol de autor. Alertas en registros de actividad pueden indicar intentos de explotación.

Alcance afectado

Las versiones del plugin 'Image Gallery – Photo Grid & Video Gallery' hasta la 2.13.3 están afectadas por esta vulnerabilidad.