CRM and Lead Management by vcita <= 2.7.5 - Missing Authorization to Authenticated (Susbcriber+) Widget Toggle

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo medio en el plugin 'CRM and Lead Management by vcita' en versiones hasta la 2.7.5. Esta falla permite a usuarios autenticados con rol de suscriptor y superiores manipular ciertas configuraciones sin la autorización adecuada.

Contexto técnico

La vulnerabilidad radica en la falta de verificación de permisos al alternar widgets dentro del plugin. Esto significa que un usuario con un rol que debería tener restricciones puede ejecutar acciones no autorizadas, comprometiendo así la integridad de la gestión de clientes.

Impacto potencial

El impacto potencial incluye la posibilidad de que usuarios no autorizados modifiquen configuraciones críticas del sistema, lo que podría llevar a la exposición de datos sensibles o a la alteración de la funcionalidad del plugin, afectando la operativa del negocio.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante el acceso al panel de administración del plugin, donde un usuario autenticado puede intentar manipular la configuración de widgets sin los permisos necesarios.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 2.8.0 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los roles y permisos de los usuarios para asegurar que solo aquellos con la autoridad adecuada puedan realizar cambios en la configuración.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en la configuración del plugin o intentos de acceso a funciones restringidas por parte de usuarios con roles limitados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.8.0 del plugin 'CRM and Lead Management by vcita'.