Booster for WooCommerce <= 7.1.2 - Missing Authorization to Product Creation/Modification

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo RCE en el plugin Booster for WooCommerce, que afecta a las versiones hasta la 7.1.2. Este fallo permite la creación y modificación de productos sin la autorización adecuada, lo que podría comprometer la seguridad de las tiendas online.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización al permitir la creación y modificación de productos en WooCommerce. Esto expone a los sitios a ataques donde un atacante podría ejecutar código malicioso a través de la manipulación de las solicitudes HTTP.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante no solo modificar productos existentes, sino también crear nuevos productos con contenido malicioso. Esto podría derivar en pérdidas económicas y en la reputación de la tienda online afectada.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas a la API del plugin, lo que les permite eludir los mecanismos de autorización y realizar acciones no autorizadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Booster for WooCommerce a la versión 7.1.3 o posterior. Además, se sugiere revisar las configuraciones de permisos y aplicar medidas de hardening adicionales en la instalación de WordPress.

Señales de detección

Señales de riesgo incluyen la aparición de productos no autorizados en la tienda, cambios inesperados en la base de datos de productos, y registros de actividad inusual en el sistema de gestión de WooCommerce.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 7.1.3 del plugin Booster for WooCommerce. Es importante verificar las instalaciones para asegurar que están actualizadas.