Advanced Custom Fields <= 5.10 - Missing Authorization to Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin Advanced Custom Fields Pro, que afecta a las versiones hasta la 5.10. Esta vulnerabilidad permite el acceso no autorizado a información sensible, lo que representa un riesgo medio para la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada en ciertas funciones del plugin, lo que permite a un atacante potencial acceder a datos que deberían estar restringidos. La superficie de ataque incluye las funcionalidades que manejan datos sensibles sin la validación necesaria de permisos de usuario.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede ser significativo, ya que permite la divulgación de información sensible que podría ser utilizada para ataques más sofisticados. Esto podría comprometer la integridad de los datos del sitio y la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante el envío de solicitudes maliciosas a las funciones del plugin que no implementan la verificación de permisos, permitiendo así el acceso a información restringida.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Advanced Custom Fields Pro a la versión 5.11 o posterior. Además, se sugiere revisar las configuraciones de permisos y aplicar prácticas de hardening en el acceso a datos sensibles.

Señales de detección

Señales de posible explotación incluyen accesos no autorizados a datos sensibles en los registros de actividad del sitio, así como solicitudes inusuales que intenten acceder a funciones del plugin sin la autorización adecuada.

Alcance afectado

Las versiones del plugin Advanced Custom Fields Pro hasta la 5.10 son las que se ven afectadas. Las instalaciones que utilicen estas versiones están en riesgo y deben ser actualizadas.