WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.16 - Missing Authorization to Unauthenticated Plugin Settings Modification

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin WCFM – Frontend Manager para WooCommerce que permite la modificación no autorizada de configuraciones por parte de usuarios no autenticados. Esta falla afecta a las versiones hasta la 6.7.16 y ha sido corregida en la versión 6.7.17.

Contexto técnico

El fallo se clasifica como una ejecución remota de código (RCE) que permite a un atacante modificar configuraciones del plugin sin necesidad de autenticación previa. Esto amplía la superficie de ataque, ya que cualquier visitante del sitio podría potencialmente aprovechar esta vulnerabilidad.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante realizar cambios maliciosos en la configuración del plugin, lo que podría comprometer la integridad del sitio y afectar la confianza de los usuarios. Esto puede resultar en pérdidas económicas y daños a la reputación de la marca.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes maliciosas a la configuración del plugin, lo que les permite modificar ajustes críticos sin estar autenticados.

Mitigación recomendada

Se recomienda actualizar el plugin WCFM – Frontend Manager a la versión 6.7.17 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar medidas de hardening para prevenir accesos no autorizados.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración del plugin, accesos inusuales a los ajustes del mismo y registros de actividad de usuarios no autenticados que intentan modificar configuraciones.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 6.7.17 del plugin WCFM – Frontend Manager para WooCommerce.