FULL - Customer <= 2.2.3 - Authenticated(Subscriber+) Improper Authorization to Arbitrary Plugin Installation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de alta gravedad en el plugin FULL - Customer, que permite a usuarios autenticados con rol de suscriptor o superior realizar instalaciones de plugins arbitrarios. Esta vulnerabilidad, catalogada como CVE-2023-4243, afecta a las versiones hasta la 2.2.3 y fue publicada el 8 de agosto de 2023.

Contexto técnico

El fallo se origina en una autorización inadecuada que permite a los usuarios con permisos limitados acceder a funcionalidades que deberían estar restringidas. Esto aumenta la superficie de ataque al permitir la instalación de plugins no autorizados que pueden comprometer la seguridad del sitio.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la instalación de malware o plugins maliciosos, lo que podría resultar en la pérdida de datos, compromisos de seguridad y daños a la reputación del negocio. La gravedad del fallo, con un CVSS de 8.8, indica un riesgo significativo para las instalaciones afectadas.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al autenticarse como usuarios con rol de suscriptor o superior y ejecutar comandos para instalar plugins arbitrarios sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin FULL - Customer a la versión 2.3 o superior. Además, es aconsejable revisar los permisos de los usuarios y aplicar prácticas de hardening en la gestión de roles y capacidades.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la instalación de plugins, accesos inusuales por parte de usuarios con rol de suscriptor y registros de actividad que indiquen intentos de instalación de plugins.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.3 del plugin FULL - Customer. Se debe prestar especial atención a las instalaciones que utilicen versiones vulnerables.