Pricing Table by Supsystic <= 1.8.1 - Missing Authorization on AJAX Actions

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Pricing Table by Supsystic' en versiones hasta la 1.8.1, relacionada con la falta de autorización en acciones AJAX. Esta brecha de seguridad puede permitir a atacantes no autorizados realizar acciones maliciosas en el sitio web afectado.

Contexto técnico

La vulnerabilidad se origina en la ausencia de controles de autorización adecuados en las solicitudes AJAX del plugin. Esto significa que cualquier usuario, incluso aquellos sin privilegios, puede acceder y ejecutar funciones que deberían estar restringidas, comprometiendo así la integridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante realizar acciones no autorizadas, lo que podría resultar en la alteración de datos, la ejecución de código malicioso o incluso el control total del sitio. Esto podría afectar gravemente la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes AJAX maliciosas a la instalación del plugin, permitiéndoles ejecutar funciones críticas sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.8.2 o superior, donde se ha corregido el fallo. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales en las configuraciones del sitio.

Señales de detección

Señales de posible explotación incluyen la detección de solicitudes AJAX inusuales o no autorizadas en los registros del servidor, así como cambios inesperados en la configuración del plugin o en el contenido del sitio.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.8.2 del plugin 'Pricing Table by Supsystic'.