PDF Invoices & Packing Slips for WooCommerce <= 5.6.0 - Missing Authorization to Authenticated (Subscriber+) Peppol Identifier Modification

Resumen ejecutivo

Se ha detectado una vulnerabilidad de tipo RCE en el plugin 'PDF Invoices & Packing Slips for WooCommerce' en versiones hasta la 5.6.0. Esta vulnerabilidad permite a usuarios autenticados modificar identificadores Peppol sin la debida autorización.

Contexto técnico

El fallo radica en la falta de autorización adecuada para la modificación de los identificadores Peppol por parte de usuarios con rol de suscriptor o superior. Esto puede permitir a un atacante manipular datos sensibles sin restricciones.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría comprometer la integridad de los documentos generados y la información financiera asociada, lo que podría afectar la confianza de los clientes y la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante la autenticación como usuario con permisos insuficientes, permitiendo el acceso no autorizado a funciones críticas del plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 5.7.0 o superior, así como revisar las configuraciones de permisos de usuario para asegurar que sólo los roles adecuados puedan realizar modificaciones críticas.

Señales de detección

Señales de riesgo incluyen intentos de modificación de identificadores Peppol por parte de usuarios no autorizados, así como registros de acceso inusuales en el sistema relacionados con el plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.7.0 del plugin 'PDF Invoices & Packing Slips for WooCommerce'.