Strong Testimonials <= 3.2.18 - Missing Authorization to Authenticated (Contributor+) Rating Meta Update

Resumen ejecutivo

Se ha detectado una vulnerabilidad de autorización en el plugin Strong Testimonials, que afecta a las versiones hasta la 3.2.18. Esta falla permite que usuarios autenticados con rol de contribuidor o superior actualicen metadatos de calificación sin la debida autorización.

Contexto técnico

La vulnerabilidad se origina en la falta de controles adecuados para verificar los permisos de los usuarios al actualizar metadatos relacionados con las calificaciones. Esto expone la superficie de ataque a usuarios que, aunque tienen acceso autenticado, no deberían tener la capacidad de modificar ciertos datos.

Impacto potencial

El impacto potencial incluye la posibilidad de que usuarios no autorizados manipulen calificaciones, lo que podría afectar la integridad de las valoraciones y la reputación del negocio. Esto puede llevar a una pérdida de confianza por parte de los usuarios y, en consecuencia, a una disminución en la conversión de clientes.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas para actualizar los metadatos de calificación, aprovechando su estatus de usuario autenticado con rol de contribuidor o superior.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Strong Testimonials a la versión 3.2.19 o superior. Además, se sugiere revisar los permisos de usuario y aplicar políticas de seguridad más estrictas sobre la gestión de calificaciones.

Señales de detección

Se pueden detectar intentos de explotación observando logs de acceso inusuales o cambios en las calificaciones que no correspondan a las acciones de usuarios autorizados.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Strong Testimonials hasta la 3.2.18. La versión 3.2.19 y posteriores ya no presentan esta vulnerabilidad.