Awesome Support <= 6.1.5 - Missing Authorization via wpas_load_reply_history

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Awesome Support, que afecta a las versiones hasta la 6.1.5. Esta falla podría permitir a usuarios no autorizados acceder a información sensible del historial de respuestas.

Contexto técnico

El fallo radica en la falta de controles de autorización en la función wpas_load_reply_history, lo que permite a cualquier usuario acceder a datos que deberían estar restringidos. La superficie de ataque se centra en la capacidad de un atacante para invocar esta función sin las credenciales adecuadas.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la confidencialidad de la información sensible, afectando la confianza de los usuarios y la reputación del negocio. Además, podría dar lugar a la exposición de datos personales o estratégicos.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante el envío de solicitudes directas a la función afectada, sin necesidad de autenticación adecuada, lo que permite a un atacante obtener acceso no autorizado a la información.

Mitigación recomendada

Se recomienda actualizar el plugin Awesome Support a la versión 6.1.6 o superior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales en la gestión de accesos.

Señales de detección

Se deben monitorear registros de acceso y actividad del plugin para detectar intentos inusuales de acceso a la función wpas_load_reply_history. También es útil implementar alertas para actividades sospechosas relacionadas con la gestión de tickets.

Alcance afectado

Las versiones del plugin Awesome Support hasta la 6.1.5 son vulnerables. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión y aplicar las actualizaciones necesarias.