Hive Support <= 1.2.5 - Authenticated (Subscriber+) Missing Authorization via hs_update_ai_chat_settings and hive_lite_support_get_all_binbox

Resumen ejecutivo

La vulnerabilidad identificada en el plugin Hive Support, hasta la versión 1.2.5, permite a usuarios autenticados con rol de suscriptor o superior realizar acciones no autorizadas. Esta situación puede comprometer la integridad de la configuración del plugin.

Contexto técnico

El fallo se origina en la falta de autorización adecuada en las funciones hs_update_ai_chat_settings y hive_lite_support_get_all_binbox. Esto significa que usuarios con permisos limitados pueden acceder y modificar configuraciones que deberían estar restringidas, aumentando la superficie de ataque.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante cambiar configuraciones críticas del plugin, lo que podría resultar en una alteración del funcionamiento del sitio web o en la exposición de datos sensibles. Esto puede afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes específicamente diseñadas a las funciones afectadas, lo que les permite eludir las restricciones de acceso establecidas.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Hive Support a la versión 1.2.6 o superior. Además, se debe revisar la configuración de permisos de los roles de usuario y aplicar principios de mínimo privilegio.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en la configuración del plugin o intentos de acceso a funciones restringidas por usuarios con permisos inadecuados.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Hive Support hasta la 1.2.5. Las instalaciones que utilicen estas versiones están en riesgo.