Booking Calendar and Notification <= 4.0.3 - Missing Authorization via wpcb_all_bookings, wpcb_update_booking_post, and wpcb_delete_posts Functions (falta de autorizacion)

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Booking Calendar and Notification, que afecta a las versiones anteriores a 4.0.3. Esta falla permite a usuarios no autorizados realizar acciones críticas relacionadas con las reservas.

Contexto técnico

La vulnerabilidad se encuentra en las funciones wpcb_all_bookings, wpcb_update_booking_post y wpcb_delete_posts, donde no se implementan correctamente las verificaciones de autorización. Esto permite que usuarios sin los permisos adecuados accedan y modifiquen datos sensibles.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante no autorizado acceda a información de reservas y realice cambios no deseados. Esto puede comprometer la integridad de los datos y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a las funciones afectadas, eludiendo las restricciones de acceso esperadas.

Mitigación recomendada

Actualizar el plugin Booking Calendar and Notification a la versión 4.0.3 o superior. Además, revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas para prevenir accesos no autorizados.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales a las funciones mencionadas, así como cambios inesperados en las reservas o datos asociados.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Booking Calendar and Notification anteriores a la 4.0.3.