Modula Image Gallery – Photo Grid & Video Gallery <= 2.13.6 - Missing Authorization to Authenticated (Contributor+) Arbitrary Post/Page Editing

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Modula Image Gallery, que permite a usuarios autenticados con rol de Contribuyente o superior editar publicaciones y páginas de manera arbitraria. Esta falla afecta a las versiones hasta la 2.13.6 y fue corregida en la versión 2.13.7.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada para usuarios autenticados, lo que les permite realizar modificaciones no autorizadas en el contenido del sitio. Esto se debe a un control insuficiente en las funciones de edición del plugin.

Impacto potencial

El impacto potencial incluye la posibilidad de que un usuario malintencionado altere o elimine contenido crítico, lo que puede afectar la integridad del sitio y la confianza de los usuarios. Esto podría llevar a pérdidas económicas y daños a la reputación.

Vector de explotación

La explotación de esta vulnerabilidad se puede realizar mediante el acceso a la interfaz de edición del plugin por parte de un usuario autenticado con permisos insuficientes, permitiéndole modificar publicaciones o páginas sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Modula Image Gallery a la versión 2.13.7 o superior. Además, es aconsejable revisar los roles y permisos de los usuarios en el sitio para asegurar que solo los usuarios autorizados tengan acceso a la edición de contenido.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en publicaciones o páginas por parte de usuarios con rol de Contribuyente o similar. Monitorear los registros de actividad del sitio puede ayudar a identificar comportamientos sospechosos.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Modula Image Gallery hasta la 2.13.6. La vulnerabilidad fue publicada el 13 de febrero de 2026.