WooCommerce <= 4.6.1 & WooCommerce Blocks <= 3.7.0 - Settings Bypass leading to Account Creation

Resumen ejecutivo

Se ha identificado una vulnerabilidad en WooCommerce y WooCommerce Blocks que permite eludir configuraciones, lo que podría llevar a la creación no autorizada de cuentas. Esta falla afecta a versiones anteriores a la 4.6.1 y 3.7.0 respectivamente.

Contexto técnico

El fallo se presenta en la forma en que el plugin maneja las configuraciones de acceso a la creación de cuentas, permitiendo a los atacantes eludir restricciones y crear cuentas sin la debida autorización.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad de la tienda online, permitiendo a atacantes crear cuentas fraudulentas, lo que podría resultar en pérdidas económicas y en la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad manipulando solicitudes que el plugin no valida correctamente, lo que les permite saltarse la configuración de acceso a la creación de cuentas.

Mitigación recomendada

Actualizar el plugin WooCommerce a la versión 4.6.1 o superior y WooCommerce Blocks a la versión 3.7.1 o superior. Además, revisar las configuraciones de acceso y aplicar medidas de seguridad adicionales como la autenticación de dos factores.

Señales de detección

Monitorear los registros de creación de cuentas en busca de patrones inusuales o un número elevado de cuentas creadas en un corto periodo. También se deben revisar las configuraciones del plugin para detectar posibles elusiones.

Alcance afectado

Las versiones afectadas son WooCommerce hasta la 4.6.1 y WooCommerce Blocks hasta la 3.7.0. Se recomienda a todos los usuarios de estas versiones que realicen la actualización correspondiente.