Advanced Custom Fields <= 5.10 - Missing Authorization to Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin Advanced Custom Fields Pro, que afecta a las versiones hasta la 5.10. Esta falla de seguridad permite el acceso no autorizado a información sensible, lo que puede comprometer la integridad de los datos del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada, lo que permite a un atacante acceder a datos que deberían estar protegidos. Esto se traduce en una superficie de ataque que puede ser explotada a través de solicitudes maliciosas que no requieren autenticación.

Impacto potencial

El impacto potencial de esta vulnerabilidad es alto, ya que podría permitir a un atacante obtener información confidencial de los usuarios o del sistema, lo que podría resultar en un daño significativo a la reputación del negocio y a la seguridad de los datos.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes directas al servidor que no requieren credenciales, lo que les permite acceder a información sensible sin autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Advanced Custom Fields Pro a la versión 5.11 o superior. Además, se sugiere revisar las configuraciones de acceso y aplicar controles adicionales de autorización en la gestión de datos.

Señales de detección

Las señales de posible explotación incluyen registros de acceso inusuales que intentan acceder a recursos restringidos o un aumento en las consultas a endpoints que deberían estar protegidos.

Alcance afectado

Las versiones del plugin Advanced Custom Fields Pro hasta la 5.10 están afectadas por esta vulnerabilidad. Las instalaciones que no han actualizado a la versión 5.11 o superior son especialmente vulnerables.