Responsive Blocks <= 2.2.1 - Missing Authorization to Authenticated (Contributor+) Arbitrary Modification via AJAX Actions en Responsive Block Editor Addons (falta de autorizacion) - version 2.2.2

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Responsive Blocks (versiones <= 2.2.1) que permite modificaciones arbitrarias por usuarios autenticados con rol de colaborador o superior a través de acciones AJAX. Esta falla puede comprometer la integridad del contenido y la configuración del sitio web.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para ciertas acciones AJAX dentro del plugin Responsive Blocks. Esto permite a usuarios autenticados con permisos insuficientes realizar modificaciones no autorizadas en el contenido del sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados alterar el contenido y la configuración del sitio, lo que podría resultar en una pérdida de confianza por parte de los usuarios y afectar la reputación del negocio.

Vector de explotación

La explotación se realiza a través de solicitudes AJAX manipuladas, donde un usuario autenticado envía peticiones que el sistema no valida correctamente, permitiendo cambios en el contenido.

Mitigación recomendada

Actualizar el plugin Responsive Blocks a la versión 2.2.2 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y asegurarse de que solo los roles adecuados tengan acceso a las funciones críticas. Implementar medidas de seguridad adicionales como firewalls de aplicaciones web para filtrar solicitudes sospechosas.

Señales de detección

Señales a observar incluyen registros de acceso inusuales a funciones AJAX, cambios inesperados en el contenido del sitio y alertas de roles de usuario que realizan modificaciones no autorizadas.

Alcance afectado

Las versiones del plugin Responsive Blocks anteriores a la 2.2.2 son afectadas. No se han confirmado casos de explotación en versiones posteriores.