Cost Calculator Builder <= 3.5.32 - Authenticated (Subscriber+) Missing Authorization via get_cc_orders/update_order_status Functions

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Cost Calculator Builder, que afecta a las versiones hasta la 3.5.32. Esta falla permite a usuarios autenticados con rol de suscriptor o superior realizar acciones no autorizadas.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización en las funciones get_cc_orders y update_order_status del plugin. Esto permite a los usuarios que han iniciado sesión acceder a funciones que deberían estar restringidas, comprometiendo así la integridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados alterar el estado de los pedidos, lo que podría resultar en pérdidas económicas y afectar la confianza del cliente en la plataforma.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante el envío de solicitudes a las funciones afectadas por un usuario autenticado, lo que les permite ejecutar acciones no permitidas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Cost Calculator Builder a la versión 3.5.33 o superior. Además, se sugiere revisar los permisos de usuario y aplicar medidas de hardening adicionales en la configuración del sitio.

Señales de detección

Señales de riesgo incluyen actividades inusuales en el registro de acciones de usuarios, así como cambios inesperados en el estado de los pedidos que no pueden ser atribuidos a acciones legítimas.

Alcance afectado

Las versiones del plugin Cost Calculator Builder hasta la 3.5.32 están afectadas, lo que incluye todas las instalaciones que no han sido actualizadas desde la publicación de la versión 3.5.33.