Call Now Button <= 1.5.4 - Authenticated (Subscriber+) Missing Authorization to Multiple Functions

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin 'Call Now Button' hasta la versión 1.5.4, que permite a usuarios autenticados con rol de suscriptor acceder a funciones no autorizadas. Esta falla podría comprometer la seguridad del sitio web si no se gestiona adecuadamente.

Contexto técnico

El fallo radica en la falta de controles de autorización en múltiples funciones del plugin, permitiendo a los usuarios con permisos limitados ejecutar acciones que deberían estar restringidas. Esto expone la superficie de ataque a usuarios que, aunque autenticados, no deberían tener acceso a ciertas funcionalidades.

Impacto potencial

El impacto potencial incluye la posibilidad de que usuarios no autorizados realicen acciones que podrían alterar la configuración del plugin o acceder a datos sensibles, lo que puede afectar la integridad y la privacidad del sitio web, así como su reputación.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo al panel de administración con un rol de suscriptor y utilizando las funciones del plugin que no están debidamente protegidas por controles de autorización.

Mitigación recomendada

Actualizar el plugin 'Call Now Button' a la versión 1.5.5 o posterior para mitigar la vulnerabilidad. Además, se recomienda revisar los permisos de los roles de usuario y aplicar prácticas de seguridad en la gestión de accesos.

Señales de detección

Señales de posible explotación incluyen cambios inusuales en la configuración del plugin o actividad sospechosa por parte de usuarios con roles de bajo nivel, así como intentos de acceder a funciones restringidas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.5.5 del plugin 'Call Now Button'.