WPBakery Page Builder <= 8.7.2 - Missing Authorization en JS Composer (falta de autorizacion) - version 8.7.3

Resumen ejecutivo

Se ha detectado una vulnerabilidad de autorización faltante en WPBakery Page Builder hasta la versión 8.7.2, lo que puede permitir a usuarios no autorizados realizar acciones restringidas. Esta situación puede comprometer la integridad del contenido y la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se encuentra en el plugin WPBakery Page Builder, afectando a la gestión de permisos de usuario. La falta de controles adecuados permite que un atacante pueda acceder a funciones administrativas sin la autorización correspondiente, lo que representa un vector de ataque crítico.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la manipulación de contenido, acceso no autorizado a configuraciones del plugin y potenciales daños reputacionales. Las empresas que dependen de este plugin para la creación de páginas pueden ver comprometida la seguridad de su sitio web.

Vector de explotación

Un atacante podría explotar esta vulnerabilidad enviando solicitudes maliciosas que omiten los controles de autorización, permitiendo la ejecución de acciones como la modificación o eliminación de contenido.

Mitigación recomendada

Actualizar WPBakery Page Builder a la versión 8.7.3 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario en el plugin y asegurarse de que estén correctamente configurados. Implementar medidas de seguridad adicionales, como la autenticación de dos factores para usuarios con privilegios elevados.

Señales de detección

Revisar los logs de acceso en busca de solicitudes inusuales a funciones administrativas del plugin que no deberían ser accesibles sin autorización.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 8.7.3. No se ha confirmado el impacto en versiones posteriores.