YayMail <= 4.3.2 - Missing Authorization to Authenticated (Shop Manager+) License Key Deletion via '/yaymail-license/v1/license/delete' Endpoint

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin YayMail, que permite la eliminación no autorizada de claves de licencia para usuarios autenticados con rol de 'Shop Manager' y superiores. Esta falla afecta a las versiones anteriores a la 4.3.3.

Contexto técnico

La vulnerabilidad se encuentra en el endpoint '/yaymail-license/v1/license/delete', donde no se implementan controles adecuados de autorización. Esto permite a usuarios con privilegios elevados realizar acciones no permitidas sobre las claves de licencia.

Impacto potencial

El impacto potencial incluye la eliminación no autorizada de claves de licencia, lo que podría afectar la funcionalidad del plugin y, en consecuencia, las operaciones comerciales que dependen de él. Esto puede resultar en pérdida de ingresos y confianza por parte de los clientes.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas al endpoint mencionado, aprovechando la falta de verificación de permisos para eliminar claves de licencia.

Mitigación recomendada

Se recomienda actualizar el plugin YayMail a la versión 4.3.3 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar principios de menor privilegio para minimizar el riesgo de explotación.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales al endpoint '/yaymail-license/v1/license/delete' y cambios inesperados en las claves de licencia por parte de usuarios con rol de 'Shop Manager' o superior.

Alcance afectado

Las versiones del plugin YayMail anteriores a la 4.3.3 están afectadas. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión y aplicar actualizaciones si es necesario.