Online Scheduling and Appointment Booking System – Bookly <= 27.4 - Unauthenticated Information Exposure en Bookly Responsive Appointment Booking Tool (vulnerabilidad) - version 27.5

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Bookly (versiones hasta 27.4) que permite la exposición no autenticada de información sensible. Este fallo puede comprometer datos críticos y afectar la integridad operativa de los sitios afectados.

Contexto técnico

El fallo se presenta en el sistema de programación de citas de Bookly, donde un atacante puede acceder a información sin necesidad de autenticación. Esto se debe a un bypass de autenticación que permite la exposición de datos que deberían estar protegidos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante obtener información sensible que podría ser utilizada para realizar ataques adicionales o comprometer la privacidad de los usuarios. La severidad se clasifica como media (CVSS 5.3), lo que indica un riesgo moderado para la seguridad del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo a endpoints específicos del plugin sin autenticarse, lo que les permite extraer información sensible.

Mitigación recomendada

Actualizar el plugin Bookly a la versión 27.5 o superior para cerrar la vulnerabilidad. Revisar los registros de acceso para detectar intentos no autorizados de acceso a información sensible. Implementar medidas de seguridad adicionales, como la autenticación de dos factores, para proteger el acceso a datos críticos.

Señales de detección

Monitorear los registros de acceso en busca de patrones inusuales de solicitudes a endpoints del plugin que no requieran autenticación.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 27.5 del plugin Bookly. No se han reportado casos de explotación confirmados hasta la fecha.