Import and export users and customers <= 1.26.5 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Import Users from CSV' en versiones hasta la 1.26.5. Este fallo permite a un atacante potencial obtener acceso no autorizado, comprometiendo la seguridad operativa del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en el plugin, lo que permite a usuarios no autenticados realizar acciones restringidas. La superficie de ataque se presenta a través de las funciones del plugin que gestionan la importación y exportación de usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede permitir a un atacante manipular la gestión de usuarios, lo que podría resultar en la creación de cuentas no autorizadas o la modificación de roles existentes. Esto podría afectar la integridad de los datos y la confianza de los usuarios en la plataforma.

Vector de explotación

La explotación se puede llevar a cabo mediante la realización de peticiones HTTP manipuladas que aprovechan la falta de verificación de autorización en el plugin.

Mitigación recomendada

Actualizar el plugin 'Import Users from CSV' a la versión 1.26.6 o superior. Revisar los registros de acceso para identificar actividades sospechosas relacionadas con la gestión de usuarios. Implementar controles adicionales de seguridad, como la autenticación de dos factores para usuarios con privilegios elevados.

Señales de detección

Señales de riesgo incluyen accesos no autorizados en los registros de actividad, cambios inesperados en la base de datos de usuarios y peticiones anómalas a las funciones del plugin.

Alcance afectado

Las versiones del plugin 'Import Users from CSV' hasta la 1.26.5 están afectadas. No se han confirmado otros escenarios fuera de este rango de versiones.