GetGenie – AI Content Writer with Keyword Research & SEO Tracking Tools <= 4.3.0 - Missing Authorization to Authenticated (Author+) Arbitrary Post Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin GetGenie, que permite la eliminación arbitraria de publicaciones por parte de usuarios autenticados con rol de autor. Esta falla afecta a las versiones hasta la 4.3.0 y se ha calificado con una severidad media.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada en las funciones que gestionan la eliminación de publicaciones. Esto permite que un autor autenticado elimine cualquier publicación, no solo las que ha creado, exponiendo así el sistema a un riesgo de manipulación de contenido.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante con acceso de autor eliminar contenido crítico, lo que podría afectar la integridad del sitio web y la confianza de los usuarios. Además, podría tener repercusiones legales y reputacionales para la organización.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la autenticación como usuario con rol de autor y el envío de solicitudes maliciosas para eliminar publicaciones sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin GetGenie a la versión 4.3.1 o superior. Además, se debe revisar la configuración de permisos de los roles de usuario y considerar implementar controles adicionales para la gestión de publicaciones.

Señales de detección

Señales de posible explotación incluyen registros de eliminación de publicaciones que no corresponden a los autores de las mismas, así como intentos de acceso a funciones de eliminación por parte de usuarios no autorizados.

Alcance afectado

Las versiones del plugin GetGenie hasta la 4.3.0 son las afectadas. Se recomienda a los usuarios que verifiquen sus instalaciones y realicen las actualizaciones necesarias.