Facebook for WooCommerce <= 3.5.7 - Missing Authorization to Unauthenticated Notification Dismissal

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Facebook for WooCommerce, que afecta a las versiones hasta la 3.5.7. Esta falla permite la eliminación de notificaciones sin la debida autorización, lo que podría comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se clasifica como una ejecución remota de código (RCE) debido a la falta de autorización en la eliminación de notificaciones. Esto significa que un atacante no autenticado podría interactuar con el sistema de notificaciones del plugin y realizar acciones no permitidas.

Impacto potencial

El impacto de esta vulnerabilidad puede variar desde la alteración de la experiencia del usuario hasta la posibilidad de que un atacante ejecute código malicioso en el servidor, afectando la integridad y disponibilidad del sitio web.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas al plugin, lo que les permite eliminar notificaciones sin estar autenticados, potencialmente abriendo la puerta a acciones más dañinas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Facebook for WooCommerce a la versión 3.5.8 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar prácticas de hardening en la instalación de WordPress.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en las notificaciones del plugin, así como registros de acceso inusuales que indiquen intentos de eliminación de notificaciones por parte de usuarios no autenticados.

Alcance afectado

Las versiones del plugin Facebook for WooCommerce hasta la 3.5.7 son las afectadas. La vulnerabilidad fue publicada el 29 de octubre de 2025.