TI WooCommerce Wishlist <= 2.9.1 - Missing Authorization to Unauthenticated Plugin Setup Wizard Access

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin TI WooCommerce Wishlist, que permite el acceso no autorizado al asistente de configuración del plugin. Esta falla afecta a las versiones hasta la 2.9.1 y puede ser explotada para ejecutar código de forma remota.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización en el asistente de configuración del plugin, lo que permite a usuarios no autenticados acceder a funcionalidades que deberían estar restringidas. Esto puede resultar en la ejecución de comandos maliciosos en el servidor.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad y disponibilidad del sitio web, permitiendo a atacantes ejecutar código malicioso. Esto puede llevar a la pérdida de datos, alteración de la funcionalidad del sitio y daño a la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad accediendo al asistente de configuración del plugin sin las credenciales adecuadas, lo que les permite ejecutar scripts maliciosos en el servidor.

Mitigación recomendada

Actualizar el plugin TI WooCommerce Wishlist a la versión 2.9.2 o superior. Además, se recomienda revisar los permisos de usuario y realizar auditorías de seguridad en el sitio.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin o actividad inusual en los logs de acceso del servidor que indican intentos de acceso al asistente de configuración.

Alcance afectado

Las versiones del plugin TI WooCommerce Wishlist hasta la 2.9.1 están afectadas. Es crucial que los administradores de sitios que utilizan este plugin verifiquen su versión y apliquen las actualizaciones necesarias.