WC Marketplace <= 4.0.23 - Missing Authorization via mvx_save_dashpages en DC Woocommerce Multi Vendor (falta de autorizacion) - version 4.0.24

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WC Marketplace, que afecta a las versiones hasta la 4.0.23. Esta falla permite la falta de autorización en la función mvx_save_dashpages, lo que podría comprometer la seguridad de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad se encuentra en la función mvx_save_dashpages del plugin WC Marketplace, que permite a los usuarios no autorizados realizar acciones que deberían estar restringidas. Esto se traduce en una falta de control de acceso adecuado, lo que abre la puerta a posibles manipulaciones maliciosas.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que podría permitir a un atacante no autorizado modificar configuraciones críticas del plugin o acceder a información sensible, afectando tanto la integridad de los datos como la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la función mvx_save_dashpages, lo que les permite ejecutar acciones no autorizadas en el sistema sin necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WC Marketplace a la versión 4.0.24 o superior. Además, es aconsejable revisar las configuraciones de permisos de usuario y aplicar prácticas de seguridad adicionales en la gestión de plugins.

Señales de detección

Se deben estar atentos a logs de actividad inusuales que muestren intentos de acceso no autorizado a funciones administrativas, así como a cambios inesperados en las configuraciones del plugin.

Alcance afectado

Las versiones afectadas de este plugin son todas las anteriores a la 4.0.24. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión actual.