Advanced Local Pickup for WooCommerce <= 1.6.1 - Missing Authorization to Notice Dismissal

Resumen ejecutivo

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en el plugin 'Advanced Local Pickup for WooCommerce' en versiones hasta la 1.6.1. Esta falla permite a un atacante eludir la autorización al descartar notificaciones.

Contexto técnico

El fallo radica en la falta de controles adecuados de autorización en el proceso de gestión de notificaciones del plugin. Esto permite que usuarios no autorizados realicen acciones que deberían estar restringidas, comprometiendo así la seguridad del sitio.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante ejecutar código malicioso en el servidor, lo que podría resultar en la toma de control total del sitio web, pérdida de datos o compromisos de información sensible, afectando gravemente la confianza de los clientes y la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que omiten las comprobaciones de autorización, lo que les permite descartar notificaciones sin los permisos adecuados.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 1.6.2 o superior. Adicionalmente, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales como la implementación de un firewall y la monitorización de actividades sospechosas.

Señales de detección

Se deben prestar atención a patrones inusuales de acceso a las funciones de gestión de notificaciones del plugin, así como a cualquier actividad que intente realizar acciones no autorizadas por parte de usuarios no administradores.

Alcance afectado

Las versiones afectadas incluyen todas las versiones del plugin 'Advanced Local Pickup for WooCommerce' hasta la 1.6.1. La versión 1.6.2 y posteriores no están afectadas.