Schema & Structured Data for WP & AMP < 1.60 - Unauthenticated Arbitrary Media Upload en Schema AND Structured Data FOR WP (vulnerabilidad)

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin Schema & Structured Data for WP, que permite la carga arbitraria de medios sin autenticación. Este fallo, con una severidad media, puede comprometer la seguridad de las instalaciones afectadas si no se mitiga adecuadamente.

Contexto técnico

El fallo se encuentra en versiones anteriores a la 1.60 del plugin Schema & Structured Data for WP. La vulnerabilidad permite a un atacante no autenticado cargar archivos multimedia de forma arbitraria, lo que puede dar lugar a la ejecución de código malicioso.

Impacto potencial

El impacto en la seguridad y en el negocio puede ser significativo, ya que permite a los atacantes comprometer la integridad del sitio web, potencialmente llevando a la pérdida de datos o a la inyección de malware que afecte a los usuarios finales.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando peticiones maliciosas al servidor que no requieren autenticación, lo que facilita la carga de archivos no autorizados.

Mitigación recomendada

Actualizar el plugin Schema & Structured Data for WP a la versión 1.60 o superior. Revisar los permisos de carga de archivos en la configuración del servidor. Implementar medidas de seguridad adicionales, como firewalls y escaneos de malware.

Señales de detección

Monitorear los logs del servidor en busca de intentos de carga de archivos no autorizados y revisar cambios en la configuración del plugin.

Alcance afectado

Versiones del plugin Schema & Structured Data for WP anteriores a la 1.60 son vulnerables. No se han confirmado casos en versiones posteriores.