Advanced Custom Fields (ACF®) <= 6.8.1 - Missing Authorization (falta de autorizacion) - version 6.8.2

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Advanced Custom Fields (ACF) en versiones hasta la 6.8.1. Esta falla permite a usuarios no autorizados realizar acciones no permitidas, lo que puede comprometer la integridad del sitio web.

Contexto técnico

La vulnerabilidad se presenta en el plugin Advanced Custom Fields (ACF), donde la falta de verificación de permisos adecuados permite a los atacantes ejecutar acciones sin la debida autorización. Esto se puede explotar a través de solicitudes maliciosas dirigidas a las funciones del plugin que no están correctamente protegidas.

Impacto potencial

El impacto de esta vulnerabilidad puede resultar en la modificación no autorizada de datos o la ejecución de scripts maliciosos, afectando la seguridad general del sitio y la confianza de los usuarios. Esto puede traducirse en pérdidas financieras y reputacionales para el negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes directas a las funciones del plugin que no requieren autenticación adecuada, lo que les permite realizar acciones no autorizadas.

Mitigación recomendada

Actualizar el plugin Advanced Custom Fields a la versión 6.8.2 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y ajustar las configuraciones de acceso a las funciones del plugin. Realizar auditorías de seguridad periódicas para identificar y mitigar futuras vulnerabilidades.

Señales de detección

Monitorizar los logs de acceso en busca de patrones inusuales de solicitudes a funciones del plugin ACF, así como verificar configuraciones de permisos de usuario que permitan accesos no deseados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 6.8.2 del plugin Advanced Custom Fields. No se han confirmado otros escenarios o componentes relacionados.