WishList Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) Generate API Secret Key via 'wlm3_generate_api_key' AJAX action en Wishlist Member X (falta de autorizacion) - version 3.31.0

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WishList Member (versiones hasta 3.30.1) que permite a usuarios autenticados generar claves API sin la debida autorización. Esto puede comprometer la seguridad de la instalación y permitir accesos no deseados a funciones críticas.

Contexto técnico

El fallo radica en la acción AJAX 'wlm3_generate_api_key', que no verifica adecuadamente los permisos de los usuarios autenticados de nivel suscriptor o superior. Esto permite que cualquier usuario autenticado pueda generar claves API, exponiendo la instalación a accesos no autorizados.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en accesos no controlados a funcionalidades del plugin, lo que podría llevar a la manipulación de datos sensibles o a la ejecución de acciones no deseadas en la plataforma. La severidad de esta vulnerabilidad, con un CVSS de 8.8, indica un alto riesgo para la seguridad del negocio.

Vector de explotación

La vulnerabilidad se puede explotar mediante la invocación de la acción AJAX mencionada, lo que permite a un atacante autenticado generar claves API sin restricciones.

Mitigación recomendada

Actualizar el plugin WishList Member a la versión 3.31.0 o superior para corregir la vulnerabilidad. Revisar los permisos de los usuarios autenticados para restringir el acceso a funciones críticas. Monitorear los registros de actividad de usuarios para detectar acciones sospechosas relacionadas con la generación de claves API.

Señales de detección

Señales a observar incluyen registros de generación de claves API por usuarios no autorizados y cambios inusuales en la configuración del plugin.

Alcance afectado

Las versiones afectadas incluyen todas las anteriores a la 3.31.0. No se han confirmado casos de explotación en versiones posteriores.