En este reporte se detalla la vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin Friends para WordPress en versiones hasta 2.8.5, la cual permite a atacantes autenticados realizar solicitudes a servidores arbitrarios desde la aplicación web.
La vulnerabilidad SSRF en el plugin Friends se encuentra en la función discover_available_feeds, lo que posibilita a atacantes autenticados, con acceso de nivel administrador o superior, realizar solicitudes web a ubicaciones arbitrarias. Esto puede ser utilizado para consultar y modificar información de servicios internos.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Friends a la última versión disponible y restringir el acceso a roles de administrador solo a usuarios confiables. Además, se sugiere monitorear de cerca las solicitudes web salientes desde la aplicación para detectar posibles actividades maliciosas.