Business Directory Plugin <= 6.3.9 - Missing Authorization via dispatch

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Business Directory Plugin que podría permitir a usuarios no autorizados acceder a funcionalidades restringidas. Esta falla afecta a las versiones hasta la 6.3.9 y ha sido corregida en la versión 6.3.10.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en el plugin, lo que permite a un atacante ejecutar acciones que deberían estar restringidas. Esto se traduce en una superficie de ataque que puede ser explotada por usuarios malintencionados para obtener acceso no autorizado a funciones críticas del plugin.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad y la confidencialidad de los datos gestionados por el plugin, así como afectar la reputación del negocio. Un atacante podría manipular información o realizar acciones no autorizadas, lo que podría resultar en pérdidas económicas o de confianza por parte de los usuarios.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante el envío de solicitudes maliciosas que el plugin procesa sin la debida autorización, permitiendo así el acceso a funciones restringidas.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 6.3.10 o superior. Además, es aconsejable revisar los permisos de usuario y asegurarse de que las configuraciones de seguridad del sitio estén correctamente implementadas.

Señales de detección

Señales que pueden indicar un intento de explotación incluyen registros de accesos no autorizados a funciones del plugin y actividad inusual en las solicitudes HTTP dirigidas a las funcionalidades del Business Directory Plugin.

Alcance afectado

Las versiones del Business Directory Plugin hasta la 6.3.9 son las afectadas. La vulnerabilidad ha sido corregida en la versión 6.3.10 lanzada el 27 de diciembre de 2023.