Advanced Custom Fields <= 5.12 - Authenticated Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin Advanced Custom Fields Pro, que afecta a las versiones hasta la 5.12. Esta vulnerabilidad permite a usuarios autenticados acceder a información sensible.

Contexto técnico

La vulnerabilidad se produce debido a una gestión inadecuada de la información que se expone a usuarios autenticados. Esto puede permitir que un atacante con credenciales de usuario acceda a datos que no deberían ser visibles para ellos, lo que representa un fallo en la seguridad de la aplicación.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la divulgación de información sensible que podría ser utilizada para realizar ataques adicionales o comprometer la integridad de la plataforma. Esto puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante el acceso a funcionalidades del plugin que permiten la visualización de datos sensibles, utilizando credenciales de usuario válidas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Advanced Custom Fields Pro a la versión 5.12.1 o superior. Además, se sugiere revisar los permisos de usuario y aplicar principios de menor privilegio en la gestión de usuarios.

Señales de detección

Señales de riesgo incluyen accesos no autorizados a datos sensibles por parte de usuarios autenticados, así como logs de actividad inusuales que indiquen intentos de acceso a información restringida.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Advanced Custom Fields Pro hasta la 5.12. La versión 5.12.1 y posteriores han corregido esta vulnerabilidad.