Cost Calculator Builder <= 4.0.1 - Unauthenticated Price Manipulation and Insecure Direct Object Reference (vulnerabilidad) - version 4.0.2

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Cost Calculator Builder, que permite la manipulación no autenticada de precios. Esta falla puede comprometer la integridad de los datos y afectar la confianza de los usuarios en la plataforma.

Contexto técnico

La vulnerabilidad se origina en una referencia directa a objetos inseguros, lo que permite a los atacantes manipular precios sin necesidad de autenticación. El vector de ataque se centra en la interacción con el plugin en versiones hasta 4.0.1.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en pérdidas financieras y dañar la reputación del negocio, al permitir que usuarios no autorizados alteren precios de productos o servicios.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad mediante solicitudes directas a la API del plugin, manipulando los parámetros de precio sin autenticarse.

Mitigación recomendada

Actualizar el plugin Cost Calculator Builder a la versión 4.0.2 o superior. Revisar y ajustar las configuraciones de permisos y acceso al plugin. Implementar medidas de seguridad adicionales, como la validación de entrada y la autenticación reforzada.

Señales de detección

Revisar los logs de acceso en busca de solicitudes inusuales que intenten manipular precios o acceder a objetos sin autenticación.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.0.2 del plugin Cost Calculator Builder. No se han confirmado otros escenarios de explotación.