Booking Calendar Contact Form <= 1.2.34 - Missing Authorization to Authenticated (Subscriber+) Feedback Form Submission

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Booking Calendar Contact Form' en versiones hasta la 1.2.34, relacionada con la falta de autorización en el envío de formularios de feedback por parte de usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad tiene una severidad media y un CVSS de 4.3.

Contexto técnico

El fallo se origina por la ausencia de controles adecuados de autorización en el proceso de envío de formularios, lo que permite a usuarios autenticados (suscriptores y superiores) enviar feedback sin las restricciones necesarias. Esto puede facilitar acciones no autorizadas en el sistema.

Impacto potencial

El impacto potencial incluye el riesgo de que usuarios malintencionados puedan abusar de la funcionalidad del formulario para enviar contenido no deseado o malicioso, afectando la integridad de la información y la reputación del sitio web.

Vector de explotación

La explotación de esta vulnerabilidad se puede realizar mediante la manipulación del formulario de feedback, permitiendo a un atacante autenticado enviar mensajes no deseados o maliciosos sin los permisos adecuados.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 1.2.35 o superior, donde esta vulnerabilidad ha sido corregida. Además, es aconsejable revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas en los formularios del sitio.

Señales de detección

Señales de riesgo incluyen un aumento inusual en la cantidad de envíos de formularios de feedback o la presencia de contenido sospechoso en los mensajes enviados a través del formulario.

Alcance afectado

Las versiones del plugin 'Booking Calendar Contact Form' hasta la 1.2.34 son las afectadas. Es crucial verificar la versión instalada en cada sitio para asegurar que no se esté utilizando una versión vulnerable.