weMail <= 2.0.7 - Missing Authorization to Unauthenticated Form Deletion

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin weMail, que permite la eliminación de formularios sin la debida autorización. Esta falla afecta a las versiones hasta la 2.0.7 y tiene una severidad media con un CVSS de 6.5.

Contexto técnico

La vulnerabilidad permite a un atacante no autenticado eliminar formularios a través de una solicitud maliciosa, dado que no se implementan las verificaciones necesarias para garantizar que el usuario tenga permisos adecuados para realizar dicha acción.

Impacto potencial

El impacto potencial incluye la pérdida de datos importantes y la posibilidad de que un atacante modifique la funcionalidad del plugin, lo que podría afectar la confianza de los usuarios y la integridad del sitio web.

Vector de explotación

Generalmente, los atacantes pueden explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que apuntan a los endpoints de eliminación de formularios del plugin, sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar el plugin weMail a la versión 2.0.8 o superior para corregir la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales en la configuración del servidor.

Señales de detección

Señales de riesgo incluyen logs que muestren intentos de eliminación de formularios por usuarios no autenticados, así como cambios inesperados en la base de datos relacionados con formularios.

Alcance afectado

Las versiones del plugin weMail hasta la 2.0.7 están afectadas por esta vulnerabilidad. Las instalaciones que no hayan realizado la actualización a la versión 2.0.8 o superior son vulnerables.