Employee Spotlight – Team Member Showcase & Meet the Team Plugin <= 5.1.3 - Missing Authorization to Authenticated (Subscriber+) Tracking Opt-In/Opt-Out Modification

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Employee Spotlight, que afecta a las versiones hasta la 5.1.3. Esta falla permite modificaciones no autorizadas en la configuración de seguimiento de usuarios autenticados.

Contexto técnico

La vulnerabilidad se origina en la falta de controles adecuados que regulen el acceso a las funciones de modificación de las preferencias de seguimiento de los usuarios. Esto significa que cualquier usuario autenticado con rol de suscriptor o superior puede realizar cambios no autorizados en estas configuraciones.

Impacto potencial

El impacto potencial incluye la posibilidad de que usuarios no autorizados alteren configuraciones críticas, lo que podría comprometer la privacidad de los datos de los usuarios y la integridad de la información del equipo. Esto puede resultar en daños a la reputación y posibles sanciones legales.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a la interfaz del plugin y manipulando las opciones de seguimiento sin la autorización adecuada, aprovechando su rol de usuario autenticado.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 5.1.4 o superior, donde se ha corregido esta vulnerabilidad. Además, se deben revisar los roles y permisos de los usuarios para asegurar que solo los usuarios autorizados tengan acceso a las funciones críticas.

Señales de detección

Señales de riesgo incluyen cambios no autorizados en las configuraciones de seguimiento, así como intentos de acceso a funciones administrativas por parte de usuarios con roles inadecuados.

Alcance afectado

Las versiones del plugin Employee Spotlight hasta la 5.1.3 están afectadas por esta vulnerabilidad. Se recomienda a todos los usuarios de estas versiones que realicen la actualización correspondiente.