YayMail <= 4.3.2 - Missing Authorization to Authenticated (Shop Manager+) Plugin Installation and Activation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de baja gravedad en el plugin YayMail, que afecta a las versiones hasta la 4.3.2. Esta falla permite la instalación y activación no autorizada por parte de usuarios con rol de Shop Manager o superior.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada para la instalación y activación del plugin por parte de ciertos usuarios. Esto significa que un usuario con privilegios de Shop Manager podría realizar acciones que no deberían estar permitidas, comprometiendo la integridad del sistema.

Impacto potencial

El impacto de esta vulnerabilidad, aunque catalogado como bajo, puede permitir a usuarios no autorizados modificar la configuración del plugin, lo que podría llevar a una exposición de datos sensibles o a la instalación de plugins maliciosos, afectando la seguridad general del sitio.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante el acceso a la interfaz de administración de WordPress por parte de un usuario con rol de Shop Manager, quien podría intentar activar o instalar el plugin sin la debida autorización.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin YayMail a la versión 4.3.3 o superior. Además, es aconsejable revisar los roles y permisos de los usuarios en el sitio para limitar el acceso a funciones críticas.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin o intentos de instalación de plugins adicionales por parte de usuarios con privilegios inadecuados.

Alcance afectado

Las versiones del plugin YayMail hasta la 4.3.2 son las afectadas. Se recomienda a los usuarios que verifiquen la versión instalada en sus sitios.