Freemius SDK <= 2.4.2 - Missing Authorization Checks

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo 'Falta de Comprobaciones de Autorización' en el plugin Uni Woo Custom Product Options, afectando a versiones anteriores a la 4.9.14. Esta vulnerabilidad tiene una severidad media y un CVSS de 6.3.

Contexto técnico

La vulnerabilidad se origina en el SDK de Freemius, específicamente en versiones hasta la 2.4.2, donde faltan comprobaciones adecuadas de autorización. Esto permite a los atacantes realizar acciones no autorizadas en el sistema, comprometiendo la integridad de los datos.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en accesos no autorizados a funciones críticas del plugin, lo que podría llevar a la alteración de productos, gestión de pedidos y, en última instancia, afectar la confianza del cliente y la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando peticiones maliciosas a las funciones del plugin que no están debidamente protegidas, permitiendo así ejecutar acciones en nombre de otros usuarios sin su consentimiento.

Mitigación recomendada

Se recomienda actualizar el plugin Uni Woo Custom Product Options a la versión 4.9.14 o superior. Además, se sugiere revisar los permisos de usuario y aplicar controles de acceso más estrictos en las funciones del plugin.

Señales de detección

Señales de riesgo incluyen intentos de acceso a funciones del plugin sin las credenciales adecuadas, así como registros de actividad inusual en las acciones de gestión de productos y pedidos.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Uni Woo Custom Product Options hasta la 4.9.14. Se debe prestar especial atención a las instalaciones que utilizan versiones anteriores.