AccessPress Themes and Plugin <= Various Versions - Missing Authorization to Arbitrary Plugin Deactivation/Activation

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el tema y plugins de AccessPress, que permite la desactivación o activación arbitraria de plugins sin la autorización adecuada. Esta falla afecta a diversas versiones anteriores a la 1.2.7, publicada el 11 de enero de 2022.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización en las funciones que gestionan la activación y desactivación de plugins. Esto permite a usuarios no autorizados ejecutar acciones que normalmente requieren privilegios administrativos, comprometiendo la integridad del sitio.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante desactive plugins críticos o active plugins maliciosos, lo que podría llevar a la pérdida de datos, compromisos de seguridad y afectaciones en la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a través de la interfaz web del sitio, aprovechando la falta de verificación de permisos en las funciones de gestión de plugins.

Mitigación recomendada

Actualizar el tema y los plugins de AccessPress a la versión 1.2.7 o superior. Además, se recomienda realizar una auditoría de seguridad para identificar y mitigar otros posibles riesgos relacionados.

Señales de detección

Señales de riesgo incluyen intentos de desactivación o activación de plugins desde cuentas no autorizadas, así como registros de actividad inusual en el sistema de gestión de plugins.

Alcance afectado

Las versiones del tema y plugins de AccessPress anteriores a la 1.2.7 son las que se encuentran afectadas por esta vulnerabilidad.