Fuente base de datos: Wordfence Intelligence

Freemius SDK <= 2.4.2 - Missing Authorization Checks

PLUGIN MEDIUM CVE-2022-4974

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Premmerce WooCommerce Wholesale Pricing' relacionada con el SDK de Freemius, que afecta a versiones anteriores a la 1.1.8. Esta vulnerabilidad, con un nivel de severidad medio, permite la falta de controles de autorización adecuados.

Contexto técnico

La vulnerabilidad se origina en el Freemius SDK hasta la versión 2.4.2, donde no se implementan correctamente las verificaciones de autorización. Esto puede permitir a usuarios no autenticados acceder a funciones restringidas del plugin, exponiendo así información sensible.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes potenciales acceder a datos sensibles o realizar acciones no autorizadas en el entorno de WooCommerce, lo que podría comprometer la integridad de la tienda online y la confianza de los clientes.

Vector de explotación

Generalmente, esta vulnerabilidad se explota enviando peticiones maliciosas a las funciones del plugin que carecen de las comprobaciones de autorización adecuadas, permitiendo el acceso no autorizado a recursos restringidos.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin 'Premmerce WooCommerce Wholesale Pricing' a la versión 1.1.8 o superior. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de hardening en la configuración de WooCommerce.

Señales de detección

Señales de posible explotación incluyen intentos de acceso a funciones restringidas sin autenticación, así como logs de errores que indiquen accesos no autorizados a través del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.1.8 del plugin 'Premmerce WooCommerce Wholesale Pricing'.