eRoom – Zoom Meetings & Webinar <= 1.4.6 - Missing Authorization via stm_wpcfto_get_settings_callback

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin eRoom – Zoom Meetings & Webinar, que afecta a las versiones hasta la 1.4.6. Esta vulnerabilidad permite el acceso no autorizado a configuraciones sensibles del plugin.

Contexto técnico

El fallo se origina en la falta de controles de autorización en la función 'stm_wpcfto_get_settings_callback'. Esto permite a usuarios no autenticados acceder a configuraciones que deberían estar protegidas, aumentando la superficie de ataque del plugin.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante obtener información sensible y potencialmente manipular configuraciones del plugin, lo que podría comprometer la integridad de las reuniones y webinars gestionados a través de eRoom.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la función afectada sin necesidad de autenticación previa, lo que facilita el acceso no autorizado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.4.7 o superior, donde se ha corregido el fallo. Además, se sugiere revisar los permisos de acceso a las configuraciones del plugin y aplicar medidas de seguridad adicionales como la limitación de acceso a través de roles de usuario.

Señales de detección

Señales de riesgo incluyen intentos de acceso a la función 'stm_wpcfto_get_settings_callback' desde direcciones IP no reconocidas o registros de acceso inusuales que indiquen intentos de explotación.

Alcance afectado

Las versiones del plugin eRoom – Zoom Meetings & Webinar hasta la 1.4.6 están afectadas. Es crucial que los usuarios de este plugin verifiquen su versión y apliquen las actualizaciones necesarias.