Fuente base de datos: Wordfence Intelligence

Advanced Dynamic Pricing for WooCommerce <= 4.1.5 - Missing Authorization in ajaxCalculatePrice function

PLUGIN MEDIUM CVE-2022-40203

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de ejecución remota de código en el plugin 'Advanced Dynamic Pricing for WooCommerce' en versiones hasta la 4.1.5. Este fallo se debe a una falta de autorización en la función ajaxCalculatePrice.

Contexto técnico

La vulnerabilidad se origina en la función ajaxCalculatePrice del plugin, donde no se implementan controles de autorización adecuados. Esto permite que usuarios no autenticados puedan ejecutar acciones no permitidas, exponiendo así la superficie de ataque del sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que un atacante ejecute código malicioso en el servidor, lo que podría comprometer la integridad y disponibilidad del sitio web, así como la seguridad de los datos de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes AJAX maliciosas a la función vulnerable, lo que les permite ejecutar código no autorizado sin necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 4.1.6 o superior. Además, es aconsejable implementar controles de acceso adicionales y revisar las configuraciones de seguridad del sitio.

Señales de detección

Señales de posible explotación incluyen registros de solicitudes inusuales a la función ajaxCalculatePrice, especialmente desde direcciones IP no reconocidas o no autenticadas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin 'Advanced Dynamic Pricing for WooCommerce' hasta la 4.1.5. Las versiones a partir de la 4.1.6 han sido corregidas.