QuickWebP – Compress / Optimize Images & Convert WebP | SEO Friendly <= 3.2.7 - Authenticated (Contributor+) Arbitrary File Deletion (vulnerabilidad) - version 3.2.8

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin QuickWebP (versiones <= 3.2.7) que permite la eliminación arbitraria de archivos por usuarios autenticados con rol de colaborador o superior. Este fallo puede comprometer la integridad del sistema y permitir la pérdida de datos importantes.

Contexto técnico

El fallo se origina en el plugin QuickWebP, que gestiona la compresión y optimización de imágenes. La vulnerabilidad permite a usuarios autenticados con privilegios de colaborador o superiores eliminar archivos arbitrarios en el servidor, exponiendo así la superficie de ataque a manipulaciones maliciosas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante eliminar archivos críticos del servidor, lo que podría resultar en la pérdida de datos y afectar la disponibilidad del sitio web. Esto puede traducirse en pérdidas económicas y daños a la reputación de la empresa.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la autenticación de un usuario con rol de colaborador o superior, quien puede enviar solicitudes maliciosas para eliminar archivos del servidor.

Mitigación recomendada

Actualizar el plugin QuickWebP a la versión 3.2.8 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario en el sitio para limitar el acceso a roles innecesarios. Implementar copias de seguridad regulares para asegurar la recuperación de datos en caso de eliminación no autorizada.

Señales de detección

Señales a observar incluyen registros de eliminación de archivos inusuales en el servidor y cambios inesperados en la configuración del plugin QuickWebP.

Alcance afectado

Las versiones del plugin QuickWebP hasta la 3.2.7 son vulnerables. No se ha confirmado si otras versiones o plugins relacionados están afectados.