Import and export users and customers <= 1.27.12 - Unauthenticated Sensitive Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin 'Import and export users and customers' en versiones hasta la 1.27.12. Esta falla permite la divulgación no autenticada de información sensible, lo que puede comprometer la seguridad de los datos de los usuarios.

Contexto técnico

El fallo se origina en la forma en que el plugin maneja las solicitudes de importación y exportación de usuarios. Al no requerir autenticación para ciertas operaciones, un atacante puede acceder a información sensible sin necesidad de credenciales.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la exposición de datos personales de los usuarios, lo que podría resultar en daños a la reputación de la empresa y posibles sanciones legales por incumplimiento de normativas de protección de datos.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes directas al plugin sin necesidad de autenticarse, lo que les permite acceder a datos sensibles almacenados en el sistema.

Mitigación recomendada

Actualizar el plugin a la versión 1.27.13 o superior, donde se ha corregido la vulnerabilidad. Además, se recomienda revisar las configuraciones de seguridad y aplicar medidas de hardening en la instalación de WordPress.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales a las funciones de importación/exportación del plugin y la presencia de solicitudes no autenticadas que intentan acceder a información sensible.

Alcance afectado

Las versiones del plugin 'Import and export users and customers' hasta la 1.27.12 están afectadas por esta vulnerabilidad.