Reviews and Rating – Google My Business <= 4.14 - Missing Authorization

Resumen ejecutivo

Se ha detectado una vulnerabilidad crítica en el plugin 'Reviews and Rating – Google My Business' en versiones hasta la 4.14, relacionada con la falta de autorización. Esta falla podría permitir el acceso no autorizado a funciones restringidas del plugin.

Contexto técnico

La vulnerabilidad se origina en la ausencia de mecanismos adecuados de autorización en el plugin, lo que permite a los atacantes realizar acciones no permitidas. La superficie de ataque se centra en las funciones del plugin que gestionan las reseñas y valoraciones, las cuales deberían estar protegidas por controles de acceso.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante manipular reseñas y valoraciones, afectando la reputación de la empresa y la integridad de los datos. Esto puede resultar en pérdidas económicas y daños a la confianza del cliente.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que no requieren autorización, lo que les permite realizar acciones no autorizadas sin necesidad de credenciales válidas.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 4.15 o superior, donde se ha corregido la vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de hardening en la instalación de WordPress.

Señales de detección

Señales de explotación pueden incluir cambios no autorizados en reseñas o valoraciones, así como registros de acceso inusuales a las funciones del plugin. Monitorear el tráfico y las solicitudes al plugin puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones del plugin 'Reviews and Rating – Google My Business' hasta la 4.14 están afectadas. Es crucial verificar la versión instalada en los sitios para asegurar que no se esté utilizando una versión vulnerable.