CURCY – Multi Currency for WooCommerce <= 2.2.5 - Unauthenticated Arbitrary Shortcode Execution via get_products_price Function

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin CURCY – Multi Currency for WooCommerce, que permite la ejecución arbitraria de shortcodes sin autenticación. Esta falla afecta a las versiones hasta la 2.2.5 y puede ser explotada para comprometer la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se origina en la función get_products_price del plugin, que permite la ejecución de shortcodes sin requerir autenticación previa. Esto expone a los sitios a ataques que pueden ejecutar código malicioso directamente.

Impacto potencial

El impacto de esta vulnerabilidad es alto, ya que permite a un atacante ejecutar código arbitrario en el servidor, lo que podría resultar en el robo de datos, modificación de contenido o incluso la toma de control total del sitio web.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que invocan la función afectada, lo que les permite ejecutar código no autorizado sin necesidad de estar autenticados.

Mitigación recomendada

Se recomienda actualizar el plugin CURCY – Multi Currency for WooCommerce a la versión 2.2.6 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales en el servidor.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales que intentan acceder a la función get_products_price sin autenticación, así como cambios inesperados en los archivos del sitio o en la base de datos.

Alcance afectado

Las versiones del plugin CURCY – Multi Currency para WooCommerce hasta la 2.2.5 están afectadas por esta vulnerabilidad, lo que incluye todas las instalaciones que no han sido actualizadas.