AccessPress Themes and Plugin <= Various Versions - Missing Authorization to Arbitrary Plugin Deactivation/Activation

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en AccessPress Themes y Plugins que permite la desactivación o activación arbitraria de plugins sin la debida autorización. Esta falla afecta a diversas versiones anteriores a la 1.0.5, publicada el 11 de enero de 2022.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados, lo que permite a un atacante desactivar o activar plugins instalados en el sitio. Esto representa un vector de ataque que puede comprometer la funcionalidad del sitio y su seguridad.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la desactivación de medidas de seguridad, permitiendo a atacantes realizar acciones maliciosas en el sitio. Esto podría resultar en pérdida de datos, interrupciones en el servicio y daño a la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que no requieren autenticación, lo que les permite manipular el estado de los plugins instalados.

Mitigación recomendada

Actualizar a la versión 1.0.5 o posterior de AccessPress Themes y Plugins. Además, se recomienda revisar los permisos de usuario y aplicar controles de acceso más estrictos para la gestión de plugins.

Señales de detección

Monitorear registros de acceso y actividad en el panel de administración de WordPress para detectar cambios inusuales en el estado de los plugins. También se deben observar intentos de acceso no autorizados.

Alcance afectado

Todas las versiones de AccessPress Themes y Plugins anteriores a la 1.0.5 son vulnerables a este problema.