SportsPress – Sports Club & League Manager <= 2.7.20 - Missing Authorization to Notice Dismissal

Resumen ejecutivo

La vulnerabilidad en el plugin SportsPress permite a los usuarios no autorizados desestimar notificaciones, lo que podría comprometer la integridad de la gestión de alertas. Esta falla se ha clasificado con una severidad baja, aunque su explotación podría afectar la experiencia del usuario.

Contexto técnico

El fallo se encuentra en la falta de autorización adecuada para la acción de desestimar notificaciones dentro del plugin SportsPress. Esto significa que cualquier usuario, independientemente de su nivel de acceso, puede eliminar notificaciones que deberían estar reservadas para usuarios con privilegios específicos.

Impacto potencial

El impacto de esta vulnerabilidad, aunque clasificado como bajo, puede llevar a una gestión ineficaz de las alertas y notificaciones en el sistema, afectando potencialmente la operativa de clubes y ligas deportivas que dependen de este plugin para la comunicación interna.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a la funcionalidad de desestimación de notificaciones sin los permisos adecuados, lo que les permite manipular la visibilidad de alertas importantes.

Mitigación recomendada

Se recomienda actualizar el plugin SportsPress a la versión 2.7.21 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y establecer controles adicionales para la gestión de notificaciones.

Señales de detección

Señales de posible explotación incluyen cambios inusuales en la configuración de notificaciones o la eliminación de alertas sin un registro correspondiente de usuario autorizado.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin SportsPress hasta la 2.7.20, publicada antes del 9 de mayo de 2024.