FOX – Currency Switcher Professional for WooCommerce <= 1.4.5 - Missing Authorization to Authenticated (Contributor+) Configuration Deletion en Woocommerce Currency Switcher - version 1.4.6

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WooCommerce Currency Switcher, que permite la eliminación de configuraciones sin la autorización adecuada. Esta falla de tipo RCE puede comprometer la integridad del sistema y afectar la operativa del negocio.

Contexto técnico

La vulnerabilidad se origina en versiones del plugin WooCommerce Currency Switcher hasta la 1.4.5, donde un atacante autenticado con rol de colaborador puede eliminar configuraciones sin los permisos necesarios. Esto se traduce en un vector de ataque que explota la falta de controles de autorización.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados modificar o eliminar configuraciones críticas, lo que podría resultar en pérdidas económicas y en la confianza del cliente. La severidad alta (CVSS 8.1) indica que es un riesgo que debe ser atendido de inmediato.

Vector de explotación

La explotación se realiza mediante el acceso a la interfaz del plugin por parte de un usuario autenticado con privilegios insuficientes, lo que le permite ejecutar acciones no permitidas.

Mitigación recomendada

Actualizar el plugin WooCommerce Currency Switcher a la versión 1.4.6 o superior. Revisar los permisos de usuario en el sistema para asegurar que solo los roles adecuados tengan acceso a funciones críticas. Implementar un monitoreo continuo de los logs para detectar actividades sospechosas relacionadas con cambios en la configuración.

Señales de detección

Señales a observar incluyen registros de eliminación de configuraciones en el plugin y accesos inusuales por parte de usuarios con rol de colaborador.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.4.6 del plugin WooCommerce Currency Switcher. No se han confirmado casos en versiones posteriores.