WooCommerce Customers Manager <= 31.3 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WooCommerce Customers Manager, que permite la escalación de privilegios para usuarios autenticados con rol de suscriptor o superior. Este fallo podría comprometer la seguridad de la instalación de WordPress.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada en ciertas funciones del plugin, lo que permite a usuarios con privilegios limitados acceder a funcionalidades restringidas. Esto amplía la superficie de ataque al permitir que usuarios no autorizados realicen acciones que deberían estar reservadas a roles con mayores privilegios.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante eleve sus privilegios y acceda a datos sensibles o realice cambios no autorizados en la tienda. Esto podría resultar en pérdidas financieras y dañar la reputación de la empresa.

Vector de explotación

La explotación de esta vulnerabilidad se puede llevar a cabo mediante el envío de solicitudes maliciosas a las funciones afectadas del plugin, aprovechando la falta de controles de acceso adecuados.

Mitigación recomendada

Se recomienda actualizar el plugin WooCommerce Customers Manager a la versión 31.4 o superior para mitigar esta vulnerabilidad. Además, es aconsejable revisar y ajustar los permisos de usuario en la instalación de WordPress.

Señales de detección

Señales de riesgo incluyen intentos de acceso a funciones restringidas por parte de usuarios con rol de suscriptor, así como registros de actividad inusual en el plugin.

Alcance afectado

Las versiones afectadas son todas las versiones anteriores a la 31.4 del plugin WooCommerce Customers Manager.