Freemius SDK <= 2.4.2 - Missing Authorization Checks

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo medio en el plugin Everlightbox, relacionada con la falta de controles de autorización en la versión del SDK de Freemius hasta la 2.4.2. Esta vulnerabilidad puede permitir accesos no autorizados bajo ciertas condiciones.

Contexto técnico

El fallo se origina en la ausencia de verificaciones adecuadas de autorización en el SDK de Freemius, lo que permite que usuarios no autorizados realicen acciones que deberían estar restringidas. La superficie de ataque se centra en las funciones que dependen de estas verificaciones.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye el acceso no autorizado a funciones críticas del plugin, lo que podría comprometer la integridad y la confidencialidad de los datos del sitio web, afectando así la reputación y la operativa del negocio.

Vector de explotación

La explotación de esta vulnerabilidad suele llevarse a cabo mediante la manipulación de las solicitudes hacia el plugin, aprovechando la falta de controles de autorización para ejecutar acciones no permitidas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Everlightbox a la versión 1.1.18 o superior, donde se han implementado los controles de autorización necesarios. Además, es aconsejable revisar las configuraciones de seguridad del plugin y realizar auditorías periódicas.

Señales de detección

Señales que podrían indicar riesgo o explotación incluyen registros de accesos inusuales a funciones del plugin, así como intentos de manipulación de parámetros en las solicitudes dirigidas al mismo.

Alcance afectado

Las versiones del plugin Everlightbox que se encuentran afectadas son todas las versiones que utilizan el SDK de Freemius hasta la 2.4.2, sin embargo, se debe verificar la versión específica en uso para determinar el riesgo.