WP DSGVO Tools (GDPR) <= 3.1.38 - Missing Authorization to Unauthenticated Account Destruction of Non-Admin Users

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WP DSGVO Tools (GDPR) que permite la eliminación no autorizada de cuentas de usuarios no administradores. Esta falla, catalogada como un bypass de autenticación, afecta a las versiones hasta la 3.1.38 del plugin.

Contexto técnico

La vulnerabilidad radica en la falta de autorización al intentar eliminar cuentas de usuarios no administradores, lo que permite a un atacante potencial llevar a cabo esta acción sin necesidad de autenticación. Esto expone una superficie de ataque considerable, ya que cualquier usuario malintencionado podría aprovechar esta debilidad.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la pérdida de datos de usuarios y en la interrupción de servicios, lo que podría afectar gravemente la reputación de la empresa y su cumplimiento normativo, especialmente en relación con el GDPR.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante el envío de solicitudes maliciosas que intentan eliminar cuentas de usuarios no administradores, aprovechando la falta de controles de autorización en el plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.1.39 o superior. Además, se sugiere revisar los registros de actividad de usuarios y aplicar medidas de seguridad adicionales, como la implementación de firewalls y controles de acceso más estrictos.

Señales de detección

Señales de posible explotación incluyen intentos inusuales de eliminación de cuentas de usuario en los registros de actividad, así como un aumento en las solicitudes de eliminación de cuentas sin la debida autorización.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin WP DSGVO Tools (GDPR) hasta la 3.1.38. Las instalaciones que no han sido actualizadas a la versión 3.1.39 están en riesgo.