New User Approve <= 3.2.2 - Missing Authorization to Unauthenticated Arbitrary User Approval, Denial, and Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin New User Approve, que permite la aprobación y denegación de usuarios no autenticados, así como la divulgación de información. Esta falla afecta a las versiones hasta la 3.2.2 y fue publicada el 27 de enero de 2026.

Contexto técnico

La vulnerabilidad se clasifica como un bypass de autorización, lo que significa que usuarios no autenticados pueden realizar acciones que deberían estar restringidas. Esto se debe a una falta de controles de acceso en las funciones de aprobación y denegación de usuarios.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante no autenticado apruebe o deniegue usuarios arbitrarios, lo que podría comprometer la integridad del sistema de gestión de usuarios y permitir acceso no autorizado a la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que no requieren autenticación, permitiendo así manipular el estado de los usuarios sin validación adecuada.

Mitigación recomendada

Actualizar el plugin New User Approve a la versión 3.2.3 o superior. Además, se recomienda revisar y reforzar las políticas de acceso y autorización en el sistema.

Señales de detección

Señales de riesgo incluyen solicitudes inusuales a las funciones de aprobación de usuarios y cambios inesperados en el estado de los usuarios sin registro de actividad correspondiente.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.2.3 del plugin New User Approve.