24liveblog <= 2.2 - Missing Authorization to Authenticated (Author+) Settings Modification via update_lb24_token AJAX action (falta de autorizacion)

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 24liveblog, que permite a usuarios autenticados modificar configuraciones sin la debida autorización. Esta falla puede comprometer la integridad de la configuración del plugin y afectar la operativa del sitio web.

Contexto técnico

La vulnerabilidad se produce en la acción AJAX 'update_lb24_token', que no valida correctamente los permisos de los usuarios. Esto permite a usuarios con rol de autor o superior realizar cambios en la configuración del plugin sin la autorización adecuada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados alterar configuraciones críticas, lo que podría derivar en un comportamiento inesperado del plugin o en la exposición de datos sensibles.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante el envío de solicitudes AJAX manipuladas a la acción vulnerable, permitiendo cambios en la configuración sin la verificación de permisos.

Mitigación recomendada

Actualizar el plugin 24liveblog a la versión 2.2 o superior para corregir la vulnerabilidad. Revisar los permisos de los usuarios para asegurarse de que solo los roles adecuados tengan acceso a configuraciones críticas. Monitorear los registros de acceso y cambios en la configuración del plugin para detectar posibles actividades no autorizadas.

Señales de detección

Señales a observar incluyen registros de cambios en la configuración del plugin realizados por usuarios que no deberían tener acceso a estas funciones, así como solicitudes AJAX inusuales que intenten modificar configuraciones.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin 24liveblog anteriores a la versión 2.2. No se han confirmado casos de explotación activa.