Hr Press Lite <= 1.0.2 - Missing Authorization to Authenticated (Subscriber+) Sensitive Employee Information Exposure (falta de autorizacion)

Resumen ejecutivo

Se ha identificado una vulnerabilidad de exposición de información sensible en el plugin Hr Press Lite, que afecta a versiones hasta la 1.0.2. Esta falla permite a usuarios autenticados con rol de suscriptor acceder a datos sensibles de empleados.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada, lo que permite que los usuarios con permisos limitados accedan a información sensible de empleados que deberían estar restringidos. Esto representa un fallo en la gestión de permisos dentro del plugin.

Impacto potencial

El acceso no autorizado a información sensible puede comprometer la privacidad de los empleados y poner en riesgo la reputación de la organización. Además, puede llevar a violaciones de cumplimiento normativo y posibles sanciones.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a la información sensible a través de una cuenta de usuario autenticada con rol de suscriptor, lo que les permite eludir las restricciones de acceso.

Mitigación recomendada

Actualizar el plugin Hr Press Lite a la versión 1.0.2 o superior. Además, se recomienda revisar y ajustar las configuraciones de permisos de usuario para asegurar que solo los roles adecuados tengan acceso a información sensible.

Señales de detección

Monitorizar registros de acceso para detectar intentos inusuales de acceso a información de empleados por parte de usuarios con rol de suscriptor. Alertas sobre cambios en los permisos de usuario también pueden ser indicativos de explotación.

Alcance afectado

El problema afecta a todas las instalaciones del plugin Hr Press Lite en versiones anteriores a la 1.0.2.