Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Advanced Custom Fields Pro, que afecta a las versiones hasta la 5.10. Esta falla permite que un atacante realice cambios no autorizados en las opciones del plugin.
Fuente base de datos: Wordfence Intelligence
Advanced Custom Fields <= 5.10 - Missing Authorization on Option Changes
PLUGIN
MEDIUM
CVE-2021-20867
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la falta de controles de autorización adecuados en las funciones que gestionan los cambios de opciones dentro del plugin. Esto expone a las instalaciones a modificaciones no deseadas en la configuración del plugin, lo que puede comprometer la integridad del sitio.
Impacto potencial
El impacto potencial incluye la posibilidad de que un atacante altere configuraciones críticas, lo que podría afectar la funcionalidad del sitio y permitir la ejecución de código malicioso. Esto podría resultar en pérdida de datos o en la exposición de información sensible.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que alteren las opciones del plugin sin la debida autorización, aprovechando la falta de verificación en las solicitudes.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Advanced Custom Fields Pro a la versión 5.11 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar prácticas de hardening adicionales.
Señales de detección
Señales de riesgo incluyen cambios inesperados en la configuración del plugin o en las opciones relacionadas, así como registros de acceso inusuales que indiquen intentos de modificación por parte de usuarios no autorizados.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 5.11 del plugin Advanced Custom Fields Pro. Es fundamental verificar las instalaciones para asegurar que se esté utilizando una versión segura.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
advanced-custom-fields-pro
Advanced Custom Fields <= 6.3.8 & Secure Custom Fields <= 6.3.6.2 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
advanced-custom-fields-pro
Advanced Custom Fields <= 6.3.8 - Authenticated (Admin+) Limited Arbitrary Function Call
MEDIUM
PLUGIN
advanced-custom-fields-pro
Advanced Custom Fields <= 6.3.5 - Authenticated Stored Cross-Site Scripting
MEDIUM
PLUGIN
advanced-custom-fields-pro
Advanced Custom Fields Pro <= 6.3.1 - Missing Authorization
MEDIUM
PLUGIN
advanced-custom-fields-pro
Advanced Custom Fields Pro <= 6.3.1 - Missing Authorization
MEDIUM
PLUGIN
advanced-custom-fields-pro
Advanced Custom Fields Pro <= 6.3.1 - Cross-Site Request Forgery
MEDIUM
PLUGIN
advanced-custom-fields-pro
Advanced Custom Fields <= 6.2.10 - Authenticated (Contributor+) Arbitrary Custom Field Access
HIGH
PLUGIN
advanced-custom-fields-pro
Advanced Custom Fields Pro <= 6.2.9 - Authenticated (Contributor+) Local File Inclusion
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto