Freemius SDK <= 2.4.2 - Missing Authorization Checks

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo 'Falta de Comprobaciones de Autorización' en el plugin Vidseo, afectando a la versión Freemius SDK hasta la 2.4.2. Esta vulnerabilidad tiene una severidad media, con un CVSS de 6.3.

Contexto técnico

El fallo se origina en la falta de controles adecuados para verificar la autorización de los usuarios en ciertas funciones del plugin. Esto permite que un atacante no autorizado pueda acceder a funcionalidades restringidas, comprometiendo la integridad del sistema.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante realizar acciones no autorizadas, lo que podría resultar en la pérdida de datos, alteraciones en el contenido del sitio o incluso el control completo del mismo. Esto puede afectar la reputación de la empresa y la confianza de los usuarios.

Vector de explotación

Generalmente, la vulnerabilidad se explota enviando solicitudes maliciosas a las funciones del plugin que no requieren autenticación adecuada, permitiendo así el acceso no autorizado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Vidseo a la versión 1.2.4 o superior. Además, se sugiere revisar las configuraciones de autorización y aplicar prácticas de hardening en el acceso a las funciones críticas del plugin.

Señales de detección

Se deben monitorizar los registros de acceso y errores en el servidor para detectar patrones inusuales que puedan indicar intentos de explotación, como accesos a funciones restringidas por usuarios no autenticados.

Alcance afectado

Las versiones del plugin Vidseo que se ven afectadas son aquellas que utilizan Freemius SDK en versiones hasta la 2.4.2. Se recomienda verificar la instalación de este plugin en todos los sitios que utilicen esta versión.