MStore API – Create Native Android & iOS Apps On The Cloud <= 4.17.5 - Missing Authorization to Authenticated (Subscriber+) Posts Creation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo medio en el plugin MStore API, que afecta a las versiones hasta la 4.17.5. Esta falla permite la creación no autorizada de publicaciones por parte de usuarios autenticados con rol de suscriptor y superiores.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para la creación de publicaciones en el plugin MStore API. Esto permite a los usuarios con permisos limitados, como los suscriptores, realizar acciones que deberían estar restringidas, comprometiendo así la integridad del contenido del sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que usuarios no autorizados creen contenido malicioso o spam, lo que podría afectar la reputación del sitio y su rendimiento. Además, puede dar lugar a un aumento en el riesgo de ataques adicionales si se explota adecuadamente.

Vector de explotación

La explotación de esta vulnerabilidad se puede llevar a cabo mediante el envío de solicitudes adecuadas a las APIs del plugin, lo que permite a los atacantes crear publicaciones sin la debida autorización.

Mitigación recomendada

Se recomienda actualizar el plugin MStore API a la versión 4.17.6 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar los roles y permisos de los usuarios en el sitio para asegurar que no se otorguen privilegios innecesarios.

Señales de detección

Señales de riesgo incluyen la aparición de publicaciones no autorizadas en el sitio, así como registros de actividad inusual en las APIs del plugin que indiquen intentos de creación de contenido por parte de usuarios con permisos limitados.

Alcance afectado

Las versiones del plugin MStore API hasta la 4.17.5 son las afectadas. Las versiones posteriores, a partir de la 4.17.6, han corregido esta vulnerabilidad.