Customer Reviews for WooCommerce <= 5.61.0 - Missing Authorization to Authenticated (Subscriber+) Import Cancellation

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Customer Reviews for WooCommerce' que permite la cancelación de importaciones sin la autorización adecuada para usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad tiene una puntuación CVSS de 4.3, lo que indica un riesgo medio.

Contexto técnico

El fallo se origina en la falta de control de acceso en la funcionalidad de cancelación de importaciones dentro del plugin. Esto permite a usuarios que deberían estar restringidos realizar acciones que no les corresponden, afectando así la integridad del sistema.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a usuarios no autorizados interrumpir procesos de importación, lo que podría llevar a la pérdida de datos o a la manipulación de la información en el sitio. Esto puede afectar la confianza del cliente y la reputación del negocio.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes maliciosas para cancelar importaciones, aprovechando la falta de verificación de permisos en el plugin.

Mitigación recomendada

Actualizar el plugin 'Customer Reviews for WooCommerce' a la versión 5.62.0 o superior. Además, se recomienda revisar los permisos de usuario y aplicar políticas de acceso más estrictas para minimizar riesgos futuros.

Señales de detección

Señales de posible explotación incluyen registros de actividad inusual relacionados con la cancelación de importaciones y accesos no autorizados por parte de usuarios con rol de suscriptor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.62.0 del plugin 'Customer Reviews for WooCommerce'.