Freemius SDK <= 2.4.2 - Missing Authorization Checks

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo 'Falta de Comprobaciones de Autorización' en el SDK de Freemius, afectando a la versión 2.4.2 y anteriores. Esta vulnerabilidad tiene una severidad media, con un CVSS de 6.3.

Contexto técnico

El fallo se origina en el SDK de Freemius utilizado por el plugin 'Complete All in One SEO Wizard'. La falta de comprobaciones adecuadas de autorización permite a un atacante potencial realizar acciones no autorizadas en el sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede comprometer la integridad de los datos y la seguridad del sitio, permitiendo a un atacante acceder a funciones restringidas. Esto podría resultar en la alteración del contenido o la exposición de información sensible.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que el sistema no valida correctamente, lo que les permite ejecutar acciones no autorizadas.

Mitigación recomendada

Actualizar el SDK de Freemius a una versión que contenga las correcciones necesarias. Además, se recomienda implementar controles de acceso más estrictos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de explotación pueden incluir registros de acceso inusuales, intentos de acceso a funciones restringidas o cambios inesperados en la configuración del plugin.

Alcance afectado

Las versiones afectadas son el SDK de Freemius hasta la 2.4.2. Cualquier instalación que utilice esta versión o anteriores del plugin 'Complete All in One SEO Wizard' está en riesgo.