SMS for Lead Capture Forms <= 1.1.0 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Message Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'SMS for Lead Capture Forms' en versiones hasta la 1.1.0, que permite la eliminación arbitraria de mensajes por parte de usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad tiene una severidad media, con un CVSS de 4.3.

Contexto técnico

El fallo se origina por la falta de autorización adecuada en las funciones de eliminación de mensajes, lo que permite a los usuarios con permisos limitados realizar acciones no autorizadas. La superficie de ataque se centra en la interacción con el plugin a través de su interfaz de usuario.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante eliminar mensajes críticos, afectando la integridad de los datos y la confianza de los usuarios en el sistema. Esto podría traducirse en pérdidas económicas y reputacionales para la organización.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a la funcionalidad de eliminación de mensajes del plugin y ejecutando solicitudes maliciosas que no son debidamente verificadas en cuanto a permisos.

Mitigación recomendada

Actualizar el plugin a la versión 1.1.0 o superior, donde se ha corregido la vulnerabilidad. Además, se recomienda realizar una revisión de los permisos de usuario y aplicar buenas prácticas de seguridad en la gestión de roles.

Señales de detección

Se deben monitorizar los registros de actividad del plugin en busca de intentos inusuales de eliminación de mensajes por parte de usuarios no autorizados, así como alertas sobre cambios inesperados en los mensajes.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.1.0 del plugin 'SMS for Lead Capture Forms'.