MSHOP MY SITE <= 1.1.7 - Missing Authorization via update_settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin MSHOP MY SITE, que afecta a versiones anteriores a la 1.1.8. Esta vulnerabilidad, catalogada con una severidad media, permite a un atacante potencial manipular configuraciones sin la debida autorización.

Contexto técnico

La vulnerabilidad se origina por la falta de controles de autorización en la función 'update_settings' del plugin. Esto permite que usuarios no autorizados puedan realizar cambios en la configuración del plugin, lo que puede comprometer la integridad del sitio web.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes modificar configuraciones críticas del plugin, lo que podría llevar a una pérdida de datos, comprometer la seguridad del sitio y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la función vulnerable, lo que les permite cambiar configuraciones sin ser detectados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin MSHOP MY SITE a la versión 1.1.8 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar principios de menor privilegio a los usuarios.

Señales de detección

Señales que pueden indicar un riesgo incluyen cambios inesperados en la configuración del plugin, así como intentos de acceso no autorizado a funciones administrativas relacionadas con el plugin.

Alcance afectado

Las versiones afectadas del plugin MSHOP MY SITE son todas las versiones anteriores a la 1.1.8. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión actual.