Advanced Ads – Ad Manager & AdSense <= 2.0.14 - Missing Authorization to Authenticated (Subscriber+) Ad Placements Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Advanced Ads, que afecta a las versiones hasta la 2.0.14. Esta falla permite que usuarios autenticados con rol de suscriptor o superior realicen actualizaciones no autorizadas en los anuncios.

Contexto técnico

La vulnerabilidad se origina en la falta de controles adecuados de autorización para las actualizaciones de ubicaciones de anuncios. Esto significa que un usuario con privilegios limitados podría modificar configuraciones que deberían estar restringidas a administradores, aumentando la superficie de ataque.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad de la publicidad en el sitio, permitiendo que usuarios no autorizados alteren anuncios. Esto podría resultar en pérdidas económicas y dañar la reputación del negocio al mostrar contenido no deseado o inapropiado.

Vector de explotación

Generalmente, la explotación se realiza mediante la manipulación de solicitudes HTTP que intentan actualizar ubicaciones de anuncios, aprovechando la falta de verificación de permisos en el plugin.

Mitigación recomendada

Se recomienda actualizar el plugin Advanced Ads a la versión 2.0.15 o superior para mitigar esta vulnerabilidad. Además, se debe revisar y reforzar la gestión de roles y permisos en el sitio para asegurar que solo los usuarios autorizados tengan acceso a funciones críticas.

Señales de detección

Se deben monitorizar registros de actividad de usuarios, buscando cambios inusuales en las configuraciones de anuncios. También es importante prestar atención a accesos no autorizados por parte de usuarios con roles de suscriptor.

Alcance afectado

Las versiones del plugin Advanced Ads hasta la 2.0.14 son las afectadas. Cualquier instalación que utilice estas versiones está en riesgo.