Call Now Button <= 1.5.3 - Missing Authorization to Authenticated (Subscriber+) Limited Plugin Settings Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de severidad media en el plugin 'Call Now Button' en versiones hasta la 1.5.3, que permite la actualización de configuraciones limitadas sin la debida autorización para usuarios autenticados con rol de suscriptor o superior. La vulnerabilidad fue publicada el 28 de octubre de 2025.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados en las actualizaciones de configuraciones del plugin. Esto permite a usuarios con permisos limitados modificar ajustes que deberían estar restringidos, aumentando la superficie de ataque.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante autenticado realizar cambios no autorizados en la configuración del plugin, lo que podría comprometer la integridad del sitio web y afectar la confianza de los usuarios. Esto puede resultar en un impacto negativo en la reputación y en la seguridad general del negocio.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante el acceso a la interfaz de configuración del plugin por parte de un usuario autenticado que no debería tener esos permisos, permitiendo así la modificación de ajustes críticos.

Mitigación recomendada

Actualizar el plugin 'Call Now Button' a la versión 1.5.4 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar políticas de seguridad más estrictas para limitar el acceso a configuraciones sensibles.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración del plugin, accesos inusuales por parte de usuarios con permisos limitados y registros de actividad que muestren modificaciones en ajustes que no deberían ser accesibles.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.5.4 del plugin 'Call Now Button'.