WP-Recall – Registration, Profile, Commerce & More <= 16.26.8 - Insecure Direct Object Reference to Unauthenticated Arbitrary Password Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WP-Recall, que permite la actualización arbitraria de contraseñas sin autenticación. Esta falla afecta a las versiones hasta la 16.26.8 y ha sido corregida en la versión 16.26.9.

Contexto técnico

La vulnerabilidad se clasifica como una referencia directa a objetos insegura (IDOR) que permite a un atacante no autenticado modificar contraseñas de usuarios. Esto se debe a la falta de controles adecuados en el acceso a ciertas funciones del plugin.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante obtenga acceso no autorizado a cuentas de usuario, lo que podría comprometer datos sensibles y la integridad de la plataforma. Esto puede resultar en pérdidas financieras y daños a la reputación de la empresa.

Vector de explotación

La explotación de esta vulnerabilidad se puede llevar a cabo a través de solicitudes manipuladas que apuntan a la funcionalidad de actualización de contraseñas del plugin, sin necesidad de autenticación previa.

Mitigación recomendada

Se recomienda actualizar el plugin WP-Recall a la versión 16.26.9 o superior. Además, se sugiere implementar controles adicionales de autenticación y autorización en las funciones críticas del plugin.

Señales de detección

Se deben monitorizar los registros de acceso para detectar intentos no autorizados de actualización de contraseñas y cualquier actividad sospechosa relacionada con el plugin WP-Recall.

Alcance afectado

Las versiones del plugin WP-Recall hasta la 16.26.8 son las afectadas por esta vulnerabilidad. Las instalaciones que utilicen estas versiones deben ser consideradas en riesgo.