Freemius SDK <= 2.2.3 - Missing Authorization to Arbitrary Options Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el SDK de Freemius, específicamente en la versión 2.2.3, que permite la actualización arbitraria de opciones sin la debida autorización. Esta falla puede comprometer la seguridad de los sitios que utilizan el tema Purus.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada para la actualización de opciones dentro del SDK de Freemius. Esto permite a un atacante modificar configuraciones sin restricciones, afectando la integridad del sistema.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante realice cambios no autorizados en la configuración del sitio, lo que podría llevar a la pérdida de datos, alteraciones en la funcionalidad del sitio y un riesgo significativo para la seguridad general del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas que no requieren autenticación para actualizar opciones, lo que facilita la ejecución de ataques sin necesidad de acceso previo al sistema.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el SDK de Freemius a la versión 1.2.2 o superior. Además, se sugiere revisar las configuraciones de seguridad y aplicar prácticas de hardening en la instalación de WordPress.

Señales de detección

Señales de explotación pueden incluir cambios inesperados en la configuración del sitio, registros de actividad inusual en el acceso a opciones del SDK o alertas de seguridad generadas por plugins de monitoreo.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones que utilicen el SDK de Freemius en la versión 2.2.3 o anterior, en combinación con el tema Purus.