Booking Ultra Pro <= 1.1.6 - Missing Authorization via save_fields_settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización insuficiente en el plugin Booking Ultra Pro, que afecta a las versiones hasta la 1.1.6. Esta falla puede permitir a usuarios no autorizados modificar configuraciones críticas del plugin.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en la función 'save_fields_settings'. Esto permite que un atacante con acceso limitado pueda realizar cambios en la configuración del plugin, comprometiendo así la integridad del sistema.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que un atacante no autorizado modifique la configuración del plugin, lo que podría llevar a una alteración del funcionamiento del sistema de reservas y a la exposición de datos sensibles, afectando la confianza de los usuarios y la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante el envío de peticiones maliciosas a las funciones del plugin sin la debida autorización, lo que permite a un atacante realizar cambios en la configuración sin ser detectado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Booking Ultra Pro a la versión 1.1.7 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar prácticas de hardening en la configuración del sitio.

Señales de detección

Señales que pueden indicar un intento de explotación incluyen cambios inesperados en la configuración del plugin o registros de acceso inusuales de usuarios no autorizados en el sistema.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Booking Ultra Pro hasta la 1.1.6. Se debe verificar la instalación y actualizar a la versión corregida para evitar riesgos.