Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium) <= 4.9.60 - Missing Authorization to Unauthenticated Arbitrary Attachment and Dropbox File Deletion

Resumen ejecutivo

Se ha detectado una vulnerabilidad de tipo RCE en el plugin 'Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium)' en versiones hasta 4.9.60. Esta falla permite la eliminación no autorizada de archivos, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada, permitiendo que usuarios no autenticados realicen acciones críticas, como la eliminación de archivos adjuntos y de Dropbox. Esto expone el sistema a ataques que pueden afectar la integridad de los datos.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en la pérdida de datos importantes y en la alteración del funcionamiento del sitio, lo que podría afectar la confianza de los clientes y, en última instancia, las finanzas del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que no requieren autenticación, lo que les permite eliminar archivos de manera arbitraria.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 4.9.61 o superior. Además, se sugiere implementar controles de acceso más estrictos y revisar los permisos de archivo en el servidor.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales o intentos de eliminación de archivos por parte de usuarios no autenticados.

Alcance afectado

Las versiones del plugin hasta la 4.9.60 están afectadas, por lo que todas las instalaciones que utilicen estas versiones son vulnerables.