Booster for WooCommerce <= 7.1.1 - Missing Authorization to Authenticated (Subscriber+) Order Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Booster for WooCommerce, que permite la divulgación de información de pedidos a usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad tiene una severidad media y afecta a versiones anteriores a la 7.1.2.

Contexto técnico

El fallo se origina en la falta de autorización adecuada para acceder a información sensible de pedidos, lo que permite a usuarios con permisos insuficientes obtener datos confidenciales. La superficie de ataque se centra en las funciones que gestionan la información de pedidos en WooCommerce.

Impacto potencial

La explotación de esta vulnerabilidad podría llevar a la divulgación no autorizada de información de pedidos, lo que compromete la privacidad de los clientes y puede afectar la reputación del negocio. Esto podría resultar en pérdida de confianza por parte de los usuarios y potenciales repercusiones legales.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a las funcionalidades del plugin a través de una cuenta de usuario autenticada que tenga el rol de suscriptor o superior, sin la debida autorización para ver la información de pedidos.

Mitigación recomendada

Actualizar el plugin Booster for WooCommerce a la versión 7.1.2 o superior para cerrar la vulnerabilidad. Además, se recomienda revisar los roles y permisos de los usuarios para asegurar que no tengan acceso a información sensible que no les corresponda.

Señales de detección

Señales de riesgo incluyen intentos de acceso a información de pedidos por parte de usuarios con permisos inadecuados, así como registros de accesos inusuales a la sección de pedidos del plugin.

Alcance afectado

Las versiones del plugin Booster for WooCommerce anteriores a la 7.1.2 están afectadas por esta vulnerabilidad. Se recomienda a los administradores de sitios que utilicen este plugin revisar su versión actual.