Devs Accounting <= 1.2.0 - Missing Authorization to Unauthenticated Account Deletion via /delete-account/ REST Endpoint (falta de autorizacion)

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Devs Accounting que permite la eliminación de cuentas sin la debida autorización. Esta falla puede comprometer la integridad de los datos de los usuarios y afectar la confianza en la plataforma.

Contexto técnico

La vulnerabilidad se localiza en el endpoint REST '/delete-account/', donde se permite la eliminación de cuentas sin requerir autenticación previa. Esto expone a los sitios afectados a ataques de suplantación de identidad.

Impacto potencial

El impacto en el negocio puede ser significativo, ya que la eliminación no autorizada de cuentas puede llevar a la pérdida de datos críticos y a una disminución de la confianza de los usuarios. La severidad de esta vulnerabilidad se clasifica como media, con un CVSS de 5.3.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas al endpoint REST mencionado, eliminando cuentas de usuario sin autorización.

Mitigación recomendada

Aplicar la actualización a la versión 1.2.0 del plugin Devs Accounting para corregir la vulnerabilidad. Revisar y reforzar las configuraciones de seguridad del sitio, especialmente en los endpoints REST. Monitorear los registros de acceso para detectar actividades inusuales relacionadas con la eliminación de cuentas.

Señales de detección

Señales a observar incluyen registros de solicitudes al endpoint '/delete-account/' sin autenticación previa y cambios inesperados en el número de cuentas de usuario.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Devs Accounting anteriores a la 1.2.0. No se han confirmado otros escenarios adicionales.