OneSignal – Web Push Notifications <= 3.8.0 - Missing Authorization to Authenticated (Subscriber+) Post Meta Deletion via 'post_id'

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin OneSignal – Web Push Notifications, que permite la eliminación de metadatos de publicaciones sin la debida autorización. Esto puede comprometer la integridad de los datos en sitios afectados, especialmente aquellos que gestionan contenido sensible.

Contexto técnico

La vulnerabilidad se encuentra en la versión 3.8.0 del plugin, donde se permite la eliminación de metadatos de publicaciones a través del parámetro 'post_id' sin requerir la autorización adecuada. Esto expone a los sitios a ataques dirigidos por usuarios autenticados que pueden manipular datos críticos.

Impacto potencial

El impacto de esta vulnerabilidad es considerado bajo, con un CVSS de 3.1. Sin embargo, puede permitir a un atacante autenticado eliminar información importante, lo que podría afectar la funcionalidad del sitio y la confianza del usuario.

Vector de explotación

La explotación de esta vulnerabilidad se puede realizar mediante solicitudes maliciosas que utilicen el parámetro 'post_id' para eliminar metadatos de publicaciones, sin que se requiera validación de permisos.

Mitigación recomendada

Actualizar el plugin OneSignal – Web Push Notifications a la versión 3.8.1 o superior. Revisar los permisos de usuario para asegurar que solo usuarios autorizados puedan realizar cambios en los metadatos. Realizar auditorías periódicas de seguridad para detectar configuraciones inapropiadas.

Señales de detección

Monitorear los registros de acceso y cambios en los metadatos de publicaciones para detectar actividades inusuales o no autorizadas.

Alcance afectado

La vulnerabilidad afecta a la versión 3.8.0 del plugin OneSignal. No se han reportado casos en versiones anteriores o posteriores a la 3.8.1.