Customer Reviews for WooCommerce <= 5.38.1 - Missing Authorization via CR_Manual

Resumen ejecutivo

Se ha identificado una vulnerabilidad de ejecución remota de código en el plugin 'Customer Reviews for WooCommerce' hasta la versión 5.38.1. Esta vulnerabilidad se debe a una falta de autorización en la función CR_Manual, lo que podría permitir a un atacante ejecutar código malicioso.

Contexto técnico

La vulnerabilidad se origina en el plugin 'Customer Reviews for WooCommerce', específicamente en la función CR_Manual, que carece de un control adecuado de autorización. Esto permite que usuarios no autorizados realicen acciones que deberían estar restringidas, exponiendo así la superficie de ataque del sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que permite la ejecución de código malicioso en el servidor, lo que podría comprometer la integridad del sitio web y la información de los usuarios. Esto podría resultar en pérdidas económicas y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la función vulnerable, lo que les permite ejecutar código no autorizado en el servidor sin necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin 'Customer Reviews for WooCommerce' a la versión 5.38.2 o superior. Además, se debe realizar una revisión de los permisos de usuario y aplicar buenas prácticas de seguridad en la configuración del servidor.

Señales de detección

Señales de posible explotación incluyen actividad inusual en los registros del servidor, como solicitudes a la función CR_Manual sin la debida autorización, así como cambios inesperados en archivos o configuraciones del sitio.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.38.2 del plugin 'Customer Reviews for WooCommerce'.