Woocommerce Wholesale Lead Capture <= 2.0.3.1 - Unauthenticated Privilege Escalation

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Woocommerce Wholesale Lead Capture, que permite la escalación de privilegios sin autenticación. Esta vulnerabilidad, clasificada con un CVSS de 9.8, puede ser explotada por atacantes para obtener acceso no autorizado.

Contexto técnico

El fallo se origina en la falta de validación adecuada de los permisos de usuario en ciertas funciones del plugin. Esto permite a un atacante no autenticado ejecutar acciones que normalmente requieren privilegios elevados, comprometiendo así la seguridad del sitio web.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en el acceso no autorizado a datos sensibles, afectando la integridad y confidencialidad de la información del negocio. Además, puede conllevar a la pérdida de confianza por parte de los clientes y daños a la reputación de la empresa.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a las funciones afectadas del plugin, lo que les permite ejecutar comandos en el servidor sin necesidad de autenticación previa.

Mitigación recomendada

Se recomienda actualizar el plugin Woocommerce Wholesale Lead Capture a la versión 2.0.3.2 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere implementar medidas de seguridad adicionales como el uso de firewalls y la monitorización de accesos.

Señales de detección

Se deben estar atentos a registros de acceso inusuales y a intentos de ejecución de funciones críticas del plugin por usuarios no autenticados. Alertas de tráfico anómalo hacia las rutas del plugin también pueden indicar un intento de explotación.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Woocommerce Wholesale Lead Capture hasta la 2.0.3.1, lanzada antes del 20 de febrero de 2026.