School Management System – WPSchoolPress <= 2.2.16 - Missing Authorization to Arbitrary User Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin WPSchoolPress, que permite la eliminación arbitraria de usuarios sin la autorización adecuada. Esta falla afecta a las versiones hasta la 2.2.16 y ha sido corregida en la versión 2.2.17.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en las funciones de eliminación de usuarios del plugin WPSchoolPress. Esto permite que un atacante, sin los permisos necesarios, pueda eliminar cuentas de usuario arbitrariamente, lo que compromete la integridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la eliminación de usuarios, lo que podría resultar en la pérdida de datos críticos y afectar la operativa del sistema educativo gestionado por el plugin. Esto podría llevar a una pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones de eliminación de usuarios del plugin, aprovechando la falta de validación de permisos para ejecutar acciones no autorizadas.

Mitigación recomendada

Se recomienda actualizar el plugin WPSchoolPress a la versión 2.2.17 o superior para mitigar esta vulnerabilidad. Además, es aconsejable revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales que podrían indicar un intento de explotación incluyen registros de eliminación de usuarios no autorizados y patrones inusuales de acceso a las funciones del plugin.

Alcance afectado

Las versiones afectadas de WPSchoolPress son todas las anteriores a la 2.2.17. Las instalaciones que utilicen estas versiones están en riesgo.