Distance Based Shipping Calculator <= 2.0.22 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Distance Based Shipping Calculator' en versiones anteriores a la 2.0.23. Esta vulnerabilidad podría permitir a un atacante no autorizado acceder a funcionalidades restringidas del plugin.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados dentro del plugin, lo que permite a usuarios no autenticados realizar acciones que deberían estar restringidas. La superficie de ataque se centra en las funcionalidades del plugin relacionadas con la configuración del envío basado en la distancia.

Impacto potencial

El impacto potencial incluye la posibilidad de manipulación de configuraciones críticas del envío, lo que podría llevar a pérdidas financieras o a la exposición de datos sensibles. Además, la reputación del negocio podría verse afectada negativamente si se explota esta vulnerabilidad.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante el envío de solicitudes maliciosas a las funciones del plugin que no están protegidas por la autorización adecuada, permitiendo así el acceso no autorizado.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 2.0.23 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar medidas de hardening, como limitar el acceso a las funcionalidades del plugin a usuarios autenticados.

Señales de detección

Señales de riesgo pueden incluir intentos de acceso no autorizado a funciones del plugin o cambios inesperados en la configuración del envío. Monitorizar los registros de acceso puede ayudar a identificar actividades sospechosas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.0.23 del plugin 'Distance Based Shipping Calculator'.