Ninja Tables <= 5.2.6 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Table Creation (falta de autorizacion) - version 5.2.7

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Ninja Tables (versiones hasta 5.2.6) que permite a usuarios autenticados con rol de suscriptor crear tablas de manera arbitraria. Esta falta de autorización puede comprometer la integridad de los datos y la operativa del sitio web.

Contexto técnico

El fallo se origina en la ausencia de controles de autorización adecuados, lo que permite que usuarios con permisos limitados (suscriptores) puedan realizar acciones no autorizadas, como la creación de tablas. Esto expone la superficie de ataque a manipulaciones no deseadas.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la creación de datos no verificados, lo que podría afectar la confianza de los usuarios y la operativa del negocio. Además, puede facilitar ataques adicionales si se combinan con otras vulnerabilidades.

Vector de explotación

La explotación se realiza mediante el envío de solicitudes manipuladas que el sistema acepta sin la debida verificación de permisos, permitiendo la creación arbitraria de tablas.

Mitigación recomendada

Actualizar el plugin Ninja Tables a la versión 5.2.7 o superior para corregir la vulnerabilidad. Revisar los roles y permisos asignados a los usuarios para asegurar que no tengan acceso no autorizado. Implementar medidas de monitoreo para detectar actividades inusuales relacionadas con la creación de tablas.

Señales de detección

Revisar los logs de actividad del plugin para identificar intentos de creación de tablas por usuarios no autorizados o con permisos inusuales.

Alcance afectado

Las versiones afectadas son Ninja Tables hasta la 5.2.6. Las instalaciones que hayan actualizado a la versión 5.2.7 o superior no están afectadas.