Eagle Booking <= 1.3.4.3 - Missing Authorization to Authenticated (Subscriber+) Settings Change

Resumen ejecutivo

La vulnerabilidad identificada en el plugin Eagle Booking, hasta la versión 1.3.4.3, permite a usuarios autenticados con rol de suscriptor realizar cambios no autorizados en la configuración. Este fallo de seguridad tiene una severidad media y puede comprometer la integridad del sistema.

Contexto técnico

El problema radica en la falta de autorización adecuada para los cambios en la configuración del plugin, lo que permite a usuarios con privilegios limitados acceder y modificar ajustes que deberían estar restringidos a roles más altos.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un suscriptor modificar configuraciones críticas, lo que podría llevar a la alteración del funcionamiento del plugin y potencialmente afectar la experiencia del usuario y la seguridad del sitio web.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad accediendo al panel de administración como suscriptores y realizando cambios en las configuraciones del plugin sin la autorización adecuada.

Mitigación recomendada

Actualizar el plugin Eagle Booking a la versión 1.3.4.3 o superior para corregir la vulnerabilidad. Además, revisar los roles y permisos de los usuarios para asegurar que solo los usuarios autorizados tengan acceso a configuraciones críticas.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en la configuración del plugin o intentos de acceso a configuraciones por parte de usuarios con rol de suscriptor.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Eagle Booking anteriores a la 1.3.4.3.