Appointment & Event Booking Calendar Plugin – Webba Booking <= 5.0.48 - Missing Authorization to Authenticated (Subscriber+) CSS Settings Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo autorización en el plugin Webba Booking, que afecta a las versiones hasta la 5.0.48. Esta falla permite a usuarios autenticados con rol de suscriptor y superiores modificar configuraciones CSS sin los permisos adecuados.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización en la actualización de las configuraciones CSS del plugin. Esto permite que usuarios con privilegios limitados, como los suscriptores, realicen cambios que deberían estar restringidos a roles más altos, como administradores.

Impacto potencial

El impacto potencial incluye la posibilidad de que un usuario malintencionado modifique la apariencia del sitio web, lo que podría afectar la experiencia del usuario y la reputación del negocio. Además, podría facilitar ataques de phishing o desinformación si se utilizan cambios maliciosos en el CSS.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la manipulación de solicitudes HTTP para acceder a las funciones del plugin que permiten la actualización de configuraciones CSS sin la debida autorización.

Mitigación recomendada

Se recomienda actualizar el plugin Webba Booking a la versión 5.0.50 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los roles y permisos de los usuarios para asegurar que solo los usuarios autorizados puedan realizar cambios en la configuración del plugin.

Señales de detección

Señales de riesgo pueden incluir cambios inesperados en la apariencia del sitio web o registros de acceso inusuales por parte de usuarios con privilegios bajos que intentan modificar configuraciones.

Alcance afectado

Las versiones del plugin Webba Booking hasta la 5.0.48 están afectadas. Las instalaciones que utilicen versiones anteriores a la 5.0.50 deben ser consideradas en riesgo.