Awesome Support – WordPress HelpDesk & Support Plugin <= 6.1.7 - Missing Authorization via wpas_get_users()

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Awesome Support para WordPress, que afecta a las versiones hasta la 6.1.7. Esta vulnerabilidad, catalogada con una severidad media, puede permitir a usuarios no autorizados acceder a información sensible.

Contexto técnico

El fallo se origina en la función wpas_get_users(), que no verifica adecuadamente los permisos de los usuarios. Esto permite que un atacante pueda consultar información de usuarios sin la autorización necesaria, comprometiendo así la seguridad de la instalación.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la exposición de datos sensibles de usuarios, afectando la confianza de los clientes y potencialmente resultando en daños a la reputación de la empresa. Además, podría dar lugar a accesos no autorizados a funcionalidades críticas del sistema.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante el envío de solicitudes maliciosas que invocan la función wpas_get_users() sin las credenciales adecuadas, lo que permite el acceso a datos restringidos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Awesome Support a la versión 6.1.8 o superior. Además, se sugiere revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales a la función wpas_get_users() o intentos de acceso a datos de usuario por parte de cuentas no autorizadas.

Alcance afectado

Las versiones de Awesome Support hasta la 6.1.7 son vulnerables. Se recomienda a los administradores de WordPress que verifiquen la versión de su plugin y realicen actualizaciones si es necesario.