LatePoint <= 5.6.0 - Cross-Site Request Forgery via invoices__change_status Action (Cross-Site Request Forgery (CSRF)) - version 5.6.1

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin LatePoint hasta la versión 5.6.0. Este fallo permite a un atacante modificar el estado de las facturas sin la autorización del usuario, lo que puede comprometer la integridad de los datos operativos.

Contexto técnico

El fallo se presenta en la acción 'invoices__change_status' del plugin LatePoint. La superficie de ataque se expone cuando un usuario autenticado interactúa con un enlace malicioso, permitiendo la ejecución de acciones no autorizadas en el sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite cambios no autorizados en las facturas, lo que podría afectar la facturación y la confianza del cliente. Aunque la severidad se clasifica como media (CVSS 4.3), es crucial abordarla para evitar posibles abusos.

Vector de explotación

Generalmente, se explota mediante la creación de un enlace malicioso que, al ser clicado por un usuario autenticado, ejecuta la acción de cambio de estado de las facturas sin su consentimiento.

Mitigación recomendada

Actualizar el plugin LatePoint a la versión 5.6.1 o superior. Revisar los permisos y las configuraciones de seguridad del plugin. Implementar medidas de seguridad adicionales como tokens CSRF en formularios críticos.

Señales de detección

Monitorizar los logs de acceso para detectar solicitudes inusuales a la acción 'invoices__change_status' y revisar cambios no autorizados en el estado de las facturas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.6.1 del plugin LatePoint. No se han confirmado escenarios adicionales fuera de este rango.