Trust.Reviews <= 2.3 - Missing Authorization en FB Reviews Widget (falta de autorizacion) - version 2.4

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Trust.Reviews hasta la versión 2.3, que podría permitir accesos no autorizados. Esta falla tiene una severidad media, con un CVSS de 4.3.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados, lo que permite a un atacante potencial realizar acciones que deberían estar restringidas. La superficie de ataque incluye todas las funciones que dependen de la verificación de permisos dentro del plugin.

Impacto potencial

El impacto podría ser significativo, ya que un atacante podría manipular datos o realizar acciones en nombre de otros usuarios, lo que comprometería la integridad del sitio y la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que no están protegidas adecuadamente, permitiendo así el acceso no autorizado.

Mitigación recomendada

Actualizar el plugin Trust.Reviews a la versión 2.4 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales en el sitio.

Señales de detección

Señales de riesgo incluyen actividad inusual en las funciones del plugin que deberían estar restringidas, así como registros de acceso no autorizados a secciones del sitio que requieren permisos especiales.

Alcance afectado

Las versiones del plugin Trust.Reviews hasta la 2.3 están afectadas. Se recomienda a los administradores de sitios que utilicen este plugin que realicen la actualización inmediatamente.