Phrase TMS Integration for WordPress <= 4.7.5 - Missing Authorization to Authenticated (Subscriber+) Log Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Phrase TMS Integration for WordPress' en versiones hasta la 4.7.5, que permite la eliminación de registros sin la autorización adecuada. Esta falla se clasifica como de severidad media con un CVSS de 4.3.

Contexto técnico

El fallo se origina en la falta de controles de autorización para la eliminación de registros en el plugin. Esto significa que usuarios autenticados con rol de suscriptor o superior pueden eliminar logs sin las verificaciones necesarias, lo que expone a los sitios a riesgos de manipulación de datos.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a usuarios no autorizados eliminar información crítica, afectando la integridad de los registros y la capacidad de auditoría del sitio. Esto puede tener repercusiones en la seguridad general y en la confianza de los usuarios en el sistema.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad accediendo al panel de administración con credenciales de usuario autenticado y ejecutando acciones que no deberían estar permitidas, como la eliminación de logs.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 4.7.6 o superior. Además, es aconsejable revisar los roles y permisos de los usuarios, limitando el acceso a funciones críticas solo a aquellos que realmente lo necesiten.

Señales de detección

Señales de posible explotación incluyen la desaparición de registros en el sistema o intentos inusuales de eliminación de logs por parte de usuarios con permisos limitados.

Alcance afectado

Las versiones de 'Phrase TMS Integration for WordPress' hasta la 4.7.5 son vulnerables. Las instalaciones que no hayan actualizado a la versión 4.7.6 o superior están en riesgo.