Guest Support – Complete customer support ticket system for WordPress <= 1.2.2 - Missing Authorization to Unauthenticated Ticket Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin 'Guest Support' para WordPress, que permite la eliminación de tickets de soporte sin la debida autenticación. Esta vulnerabilidad afecta a las versiones hasta la 1.2.2 y tiene una severidad media.

Contexto técnico

El fallo radica en la falta de controles de acceso adecuados que permiten a usuarios no autenticados eliminar tickets de soporte. Esto representa una superficie de ataque significativa, ya que cualquier visitante del sitio podría potencialmente abusar de esta función.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la pérdida de información crítica y en la manipulación de datos de soporte, afectando la confianza de los clientes y la reputación del negocio. Además, podría llevar a la interrupción del servicio de atención al cliente.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes HTTP maliciosas que intenten eliminar tickets de soporte sin estar autenticados, lo que les permite eludir las restricciones de acceso.

Mitigación recomendada

Se recomienda actualizar el plugin 'Guest Support' a la versión 1.2.3 o posterior. Además, es aconsejable revisar las configuraciones de seguridad y aplicar medidas de hardening en la instalación de WordPress para minimizar riesgos futuros.

Señales de detección

Se pueden observar registros inusuales de eliminación de tickets en el sistema, así como intentos de acceso no autenticados a funciones administrativas del plugin.

Alcance afectado

Las versiones afectadas del plugin son todas las anteriores a la 1.2.3. Se debe verificar la instalación actual para asegurar que no se está utilizando una versión vulnerable.