Disable Comments & Delete All Comments <= 1.3.0 - Missing Authorization en Comments Plus (falta de autorizacion) - version 1.3.1

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Disable Comments & Delete All Comments, afectando a versiones anteriores a la 1.3.1. Esta debilidad permite acciones no autorizadas que pueden comprometer la integridad del sitio.

Contexto técnico

La vulnerabilidad se encuentra en el plugin Disable Comments & Delete All Comments, específicamente en la falta de control de autorización para ciertas funciones. Esto permite que usuarios no autenticados puedan realizar acciones restringidas en el sistema.

Impacto potencial

El impacto de esta vulnerabilidad es considerado bajo, con un CVSS de 3.1, pero puede permitir a un atacante eliminar comentarios sin autorización, afectando la gestión de contenido y la reputación del sitio.

Vector de explotación

La explotación se puede llevar a cabo mediante solicitudes maliciosas a las funciones del plugin que no requieren autenticación, permitiendo la eliminación de comentarios por parte de usuarios no autorizados.

Mitigación recomendada

Actualizar el plugin Disable Comments & Delete All Comments a la versión 1.3.1 o superior. Revisar los permisos de usuario y asegurarse de que solo los usuarios autorizados tengan acceso a funciones críticas. Monitorear los registros de actividad para identificar accesos no autorizados.

Señales de detección

Revisar los logs de acceso en busca de intentos de eliminación de comentarios por parte de usuarios no autenticados o inusuales.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.3.1 del plugin Disable Comments & Delete All Comments. No se han reportado casos en versiones posteriores.