AccessPress Themes and Plugin <= Various Versions - Missing Authorization to Arbitrary Plugin Deactivation/Activation

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el tema y plugin AccessPress Parallax New que permite la desactivación o activación arbitraria de plugins sin la debida autorización. Esta falla afecta a diversas versiones anteriores a la 4.6.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización adecuada, lo que permite a usuarios no autorizados manipular la activación y desactivación de plugins. Esto puede ser explotado a través de peticiones HTTP maliciosas que no requieren credenciales válidas.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante desactive plugins esenciales, comprometiendo la funcionalidad del sitio y exponiéndolo a otras vulnerabilidades. Esto podría resultar en pérdida de datos, interrupción del servicio y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes manipuladas a la API del tema o plugin, lo que les permite ejecutar acciones no autorizadas sin necesidad de autenticación.

Mitigación recomendada

Actualizar el tema o plugin AccessPress Parallax New a la versión 4.6 o superior. Revisar los permisos de usuario y aplicar controles de acceso adecuados para la gestión de plugins.

Señales de detección

Señales de riesgo incluyen registros de solicitudes inusuales a la API de plugins, intentos de desactivación de plugins por usuarios no autorizados y cambios inesperados en la configuración del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones anteriores a la 4.6 del tema y plugin AccessPress Parallax New.