Tawk.To Live Chat <= 0.5.4 - Missing Authorization to Visitor Monitoring & Chat Removal

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Tawk.To Live Chat, que afecta a las versiones hasta la 0.5.4. Esta vulnerabilidad permite la falta de autorización en el monitoreo de visitantes y la eliminación de chats, lo que puede comprometer la seguridad de la información del usuario.

Contexto técnico

El fallo radica en la ausencia de controles de autorización adecuados, lo que permite a usuarios no autenticados acceder a funcionalidades que deberían estar restringidas. Esto expone a los sitios a riesgos de manipulación de datos y posible acceso no autorizado a información sensible.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la pérdida de datos críticos, afectando la confianza del usuario y la reputación del negocio. Además, puede permitir a atacantes malintencionados interferir en las comunicaciones con los clientes, lo que podría traducirse en pérdidas financieras.

Vector de explotación

Generalmente, los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la API del plugin, aprovechándose de la falta de verificación de permisos para ejecutar acciones no autorizadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Tawk.To Live Chat a la versión 0.6.0 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de hardening en la configuración de WordPress.

Señales de detección

Señales de riesgo incluyen actividades inusuales en los registros de acceso del plugin, intentos de acceso a funciones restringidas y cambios no autorizados en la configuración del chat.

Alcance afectado

Las versiones del plugin Tawk.To Live Chat hasta la 0.5.4 están afectadas por esta vulnerabilidad. Se debe comprobar si se está utilizando esta versión en las instalaciones de WordPress.