AI ChatBot with ChatGPT and Content Generator by AYS <= 2.7.5 - Missing Authorization to Unauthenticated API Key Modification

Resumen ejecutivo

Se ha identificado una vulnerabilidad de bypass de autenticación en el plugin 'AI ChatBot with ChatGPT and Content Generator by AYS' en versiones hasta la 2.7.5. Esta falla permite la modificación no autorizada de claves API por usuarios no autenticados.

Contexto técnico

El fallo se origina en la falta de controles adecuados de autorización en ciertas funciones del plugin, lo que permite a atacantes no autenticados modificar configuraciones críticas, como las claves API. La superficie de ataque se centra en las APIs expuestas que carecen de validaciones de acceso.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad del sistema, permitiendo a un atacante realizar acciones no autorizadas que podrían afectar la funcionalidad del plugin y la seguridad del sitio web en general. Esto podría resultar en la pérdida de datos o en la manipulación de contenido.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes directamente a las APIs del plugin sin necesidad de autenticación, lo que les permite modificar configuraciones sensibles.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 2.7.6 o superior. Además, es aconsejable revisar las configuraciones de seguridad del sitio y aplicar medidas de hardening, como la restricción de acceso a las APIs sensibles.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en las configuraciones del plugin, accesos inusuales a las APIs y registros de actividad que indiquen intentos de modificación por parte de usuarios no autenticados.

Alcance afectado

Las versiones del plugin 'AI ChatBot with ChatGPT and Content Generator by AYS' hasta la 2.7.5 son las que presentan esta vulnerabilidad, afectando a todas las instalaciones que no han sido actualizadas.