Rankology SEO and Analytics Tool <= 2.0 - Incorrect Authorization to Authenticated (Editor+) Header & Footer Code Creation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización incorrecta en el plugin Rankology SEO and Analytics Tool, que afecta a las versiones hasta la 2.0. Esta vulnerabilidad permite a usuarios con permisos de editor y superiores crear códigos en las cabeceras y pies de página, lo que podría comprometer la seguridad del sitio.

Contexto técnico

El fallo se origina en la falta de controles adecuados de autorización para la funcionalidad de creación de código en las secciones de cabecera y pie de página del plugin. Esto permite que usuarios que no deberían tener acceso a estas funciones puedan ejecutarlas, lo que amplía la superficie de ataque.

Impacto potencial

Aunque la severidad de esta vulnerabilidad se clasifica como baja (CVSS 2.7), el impacto potencial puede ser significativo en términos de seguridad, ya que permite la inyección de código malicioso que podría afectar la integridad del sitio y la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad al acceder a una cuenta de usuario con permisos de editor o superiores y utilizar la funcionalidad de creación de código para inyectar scripts maliciosos en el sitio.

Mitigación recomendada

Se recomienda actualizar el plugin Rankology SEO and Analytics Tool a la versión 2.5 o superior para mitigar esta vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar el principio de menor privilegio en la gestión de roles.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en las cabeceras y pies de página del sitio, así como reportes de comportamiento inusual en las cuentas de usuario con permisos elevados.

Alcance afectado

Las versiones del plugin Rankology SEO and Analytics Tool hasta la 2.0 son las afectadas. Se debe tener en cuenta que la vulnerabilidad fue corregida en la versión 2.5.