Push notification for Mobile and Web app <= 2.0.3 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Push notification for Mobile and Web app' en versiones hasta la 2.0.3. Esta vulnerabilidad permite a un atacante potencialmente acceder a funciones restringidas del plugin.

Contexto técnico

El fallo se origina por la falta de controles adecuados de autorización en el plugin, lo que permite que usuarios no autenticados puedan realizar acciones que deberían estar restringidas. La superficie de ataque incluye cualquier instalación del plugin en las versiones afectadas.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante manipular notificaciones o acceder a datos sensibles, lo que podría afectar la integridad y la disponibilidad de la información del negocio, así como la confianza de los usuarios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas al servidor que ejecuta el plugin, intentando acceder a funciones que requieren autorización sin haber iniciado sesión.

Mitigación recomendada

Actualizar el plugin a la versión 2.0.4 o superior, donde se ha corregido esta vulnerabilidad. Además, se recomienda revisar las configuraciones de seguridad y aplicar buenas prácticas de hardening en la instalación de WordPress.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales que intentan acceder a funciones restringidas del plugin, así como un aumento en las solicitudes a endpoints que deberían requerir autenticación.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.0.4 del plugin 'Push notification for Mobile and Web app'.