WP Human Resource Management 2.0.0 - 2.2.17 - Missing Authorization to Authenticated (Employee+) Arbitrary User Deletion via ajax_delete_employee Function

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin WP Human Resource Management, que permite la eliminación arbitraria de usuarios autenticados. Esta falla afecta a las versiones desde la 2.0.0 hasta la 2.2.17 y tiene una severidad media con un CVSS de 6.5.

Contexto técnico

La vulnerabilidad se encuentra en la función `ajax_delete_employee`, que no implementa adecuadamente controles de autorización. Esto permite a empleados autenticados eliminar a otros usuarios sin los permisos necesarios, lo que representa una brecha en la seguridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados manipular la base de datos de usuarios, lo que puede llevar a la pérdida de datos críticos y a la posible interrupción de servicios. Esto puede afectar la confianza de los usuarios y la reputación de la organización.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante el envío de solicitudes AJAX maliciosas a la función vulnerable, permitiendo la eliminación de cuentas de usuario sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.2.17 o posterior. Además, se sugiere revisar los permisos de los usuarios y aplicar controles de acceso más estrictos en las funciones críticas del sistema.

Señales de detección

Las señales que pueden indicar un intento de explotación incluyen registros de eliminación de usuarios no autorizados o actividad inusual en las funciones de gestión de usuarios del plugin.

Alcance afectado

Las versiones afectadas son desde la 2.0.0 hasta la 2.2.17 del plugin WP Human Resource Management.