Product Delivery Date for WooCommerce – Lite <= 2.7.2 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de ejecución remota de código en el plugin 'Product Delivery Date for WooCommerce – Lite' en versiones hasta la 2.7.2. Esta falla puede comprometer la seguridad del sitio si no se gestiona adecuadamente.

Contexto técnico

La vulnerabilidad radica en la falta de autorización en ciertas funcionalidades del plugin, lo que permite a un atacante ejecutar código arbitrario en el servidor. Esto se puede considerar un fallo de control de acceso que afecta a la superficie de ataque del sistema.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría permitir a un atacante ejecutar comandos maliciosos, lo que podría comprometer datos sensibles y la integridad del sitio, afectando la confianza del cliente y la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que el plugin no valida adecuadamente, lo que les permite ejecutar código no autorizado en el servidor.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.7.3 o superior. Además, se sugiere revisar los permisos de acceso y aplicar prácticas de hardening en la configuración del servidor.

Señales de detección

Señales de riesgo incluyen comportamientos inusuales en el servidor, como ejecuciones de scripts no autorizados o cambios inesperados en archivos del sistema. Monitorear los registros de acceso puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones afectadas incluyen todas las versiones del plugin 'Product Delivery Date for WooCommerce – Lite' hasta la 2.7.2. Las instalaciones que no han sido actualizadas son vulnerables.