Total Upkeep <= 1.17.1 - Missing Authorization to Unauthenticated Rollback Cancellation en Boldgrid Backup (falta de autorizacion) - version 1.17.2

Resumen ejecutivo

La extensión BoldGrid Backup presenta una vulnerabilidad de tipo bypass de autorización que permite la cancelación de retrocesos sin autenticación. Esto puede comprometer la integridad de los respaldos y afectar la operativa del sitio web.

Contexto técnico

La vulnerabilidad se encuentra en el plugin Total Upkeep hasta la versión 1.17.1. Permite a un atacante no autenticado cancelar retrocesos de copias de seguridad, lo que representa una grave debilidad en la gestión de datos.

Impacto potencial

El riesgo asociado incluye la pérdida de datos críticos y la posible interrupción de servicios, lo que podría derivar en pérdidas económicas y reputacionales para la organización. La severidad de esta vulnerabilidad se clasifica como media, con un CVSS de 5.3.

Vector de explotación

La explotación se realiza a través de solicitudes maliciosas que no requieren autenticación previa, facilitando el acceso no autorizado a funciones críticas del plugin.

Mitigación recomendada

Actualizar el plugin BoldGrid Backup a la versión 1.17.2 o superior. Revisar los registros de actividad para identificar accesos no autorizados. Implementar medidas de seguridad adicionales, como la limitación de acceso a funciones críticas.

Señales de detección

Señales a observar incluyen intentos de acceso a funciones de retroceso sin autenticación y cambios inusuales en los registros de copia de seguridad.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.17.2 del plugin BoldGrid Backup. No se han reportado casos de explotación confirmados en versiones posteriores.