Coming soon and Maintenance mode <= 3.6.6 - Missing Authorization to Arbitrary Email Send

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Coming Soon and Maintenance Mode' en versiones hasta la 3.6.6, que permite el envío de correos electrónicos arbitrarios sin la debida autorización. Esta falla tiene una severidad media, con un CVSS de 4.3.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización adecuados en el plugin, lo que permite a un atacante enviar correos electrónicos a direcciones arbitrarias. Esto se produce debido a una implementación deficiente en la gestión de permisos dentro del código del plugin.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede incluir el envío de spam o phishing a usuarios, lo que podría dañar la reputación del negocio y comprometer la confianza de los clientes. Además, puede ser utilizado como un vector para ataques más complejos.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas al plugin para desencadenar el envío de correos electrónicos no autorizados a direcciones elegidas por ellos.

Mitigación recomendada

Actualizar el plugin 'Coming Soon and Maintenance Mode' a la versión 3.6.7 o superior para corregir esta vulnerabilidad. Además, se recomienda revisar las configuraciones de seguridad y permisos de otros plugins instalados.

Señales de detección

Señales de posible explotación incluyen un aumento inusual en los registros de envío de correos electrónicos desde el servidor o notificaciones de que correos electrónicos han sido enviados a direcciones no reconocidas.

Alcance afectado

Las versiones del plugin 'Coming Soon and Maintenance Mode' hasta la 3.6.6 son susceptibles a esta vulnerabilidad. Se recomienda a los administradores de WordPress verificar la versión instalada.