WPCS – WordPress Currency Switcher Professional <= 1.1.9 - Missing Authorization to Custom Drop-Down Currency Switcher Creation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin WPCS – WordPress Currency Switcher Professional, que afecta a las versiones hasta la 1.1.9. Esta vulnerabilidad permite la creación no autorizada de un conmutador de divisas personalizado.

Contexto técnico

El fallo se origina en la falta de controles de autorización al crear un conmutador de divisas personalizado. Esto significa que un usuario sin los permisos adecuados puede ejecutar acciones que deberían estar restringidas, lo que expone a la instalación a riesgos de manipulación.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante pueda alterar las configuraciones de divisas, lo que podría afectar la experiencia del usuario y la integridad de las transacciones. Esto podría traducirse en pérdidas financieras y en la confianza del cliente en la plataforma.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante el acceso a funciones que permiten la creación de conmutadores de divisas sin la debida autorización, lo que puede ser facilitado por un usuario malintencionado que ya tenga acceso al panel de administración.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 1.2.0 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales en el acceso al panel de administración.

Señales de detección

Las señales de riesgo pueden incluir intentos no autorizados de crear o modificar conmutadores de divisas, así como cambios inesperados en la configuración de divisas en el sitio.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.2.0 del plugin WPCS – WordPress Currency Switcher Professional.