Salon Booking System – Free Version <= 10.30.24 - Unauthenticated Insecure Direct Object Reference (vulnerabilidad) - version 10.30.25

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo 'Insecure Direct Object Reference' en el plugin Salon Booking System, que puede permitir el acceso no autorizado a objetos sensibles. Esta falla, clasificada como de severidad media, afecta a las versiones anteriores a 10.30.25, lo que puede comprometer la integridad de los datos de los usuarios.

Contexto técnico

La vulnerabilidad se presenta en la versión gratuita del plugin Salon Booking System, donde un atacante puede acceder a recursos sin la debida autenticación, lo que permite la manipulación de objetos internos. Esta situación se agrava en entornos donde no se implementan controles de acceso adecuados.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la exposición de datos sensibles de los usuarios y la posibilidad de realizar acciones no autorizadas dentro de la aplicación. Esto podría dañar la reputación de la empresa y resultar en pérdidas financieras debido a la falta de confianza por parte de los clientes.

Vector de explotación

Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes directas que omiten la autenticación, accediendo así a objetos que deberían estar protegidos.

Mitigación recomendada

Actualizar el plugin Salon Booking System a la versión 10.30.25 o posterior. Revisar y reforzar los controles de acceso en la configuración del plugin. Realizar auditorías de seguridad periódicas para detectar posibles configuraciones incorrectas.

Señales de detección

Monitorear los logs de acceso en busca de patrones inusuales de solicitudes que intenten acceder a objetos sin autenticación.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones del plugin Salon Booking System en versiones anteriores a 10.30.25. No se han reportado casos en versiones posteriores.