aBlocks – WordPress Gutenberg Blocks <= 2.4.0 - Missing Authorization to Authenticated (Subscriber+) Settings Modification

Resumen ejecutivo

La vulnerabilidad en el plugin aBlocks para WordPress permite a usuarios autenticados con rol de suscriptor o superior modificar configuraciones sin la autorización adecuada. Esta falla, identificada como CVE-2025-12449, tiene una severidad media con un puntaje CVSS de 5.4.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en las funciones que gestionan la modificación de configuraciones del plugin aBlocks. Esto permite que usuarios con privilegios limitados accedan a funcionalidades que deberían estar restringidas, comprometiendo así la integridad de la configuración del plugin.

Impacto potencial

El impacto potencial incluye cambios no autorizados en la configuración del plugin, lo que podría llevar a un funcionamiento incorrecto del mismo o a la exposición de datos sensibles. Esto puede afectar la confianza de los usuarios y la reputación del sitio web.

Vector de explotación

Usualmente, esta vulnerabilidad se explota mediante el acceso a la interfaz del plugin por parte de un usuario autenticado que no debería tener permisos para realizar modificaciones en la configuración.

Mitigación recomendada

Actualizar el plugin a la versión 2.4.0 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los roles y permisos de los usuarios en el sitio para asegurar que solo los usuarios autorizados tengan acceso a configuraciones críticas.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración del plugin aBlocks o intentos de acceso a funcionalidades restringidas por parte de usuarios con rol de suscriptor.

Alcance afectado

Las versiones del plugin aBlocks anteriores a la 2.4.0 son las afectadas por esta vulnerabilidad.