Freemius SDK <= 2.2.3 - Missing Authorization to Arbitrary Options Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin ReserMy, específicamente en el SDK de Freemius, que permite la actualización no autorizada de opciones arbitrarias. Esta falla afecta a versiones anteriores a la 2.2.3 y puede comprometer la seguridad del sitio web.

Contexto técnico

El fallo se origina en la falta de autorización adecuada para la actualización de opciones dentro del SDK de Freemius. Esto permite que un atacante pueda modificar configuraciones sin el permiso necesario, lo que expone el sistema a manipulaciones maliciosas.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en cambios no deseados en la configuración del plugin, afectando la funcionalidad del sitio y potencialmente permitiendo a un atacante tomar el control del mismo. Esto puede traducirse en pérdidas económicas y de reputación para el negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas para modificar opciones del plugin sin necesidad de autenticación, lo que facilita la explotación.

Mitigación recomendada

Se recomienda actualizar el plugin ReserMy a la versión 1.0.0 o superior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable implementar medidas de seguridad adicionales, como la restricción de acceso a la configuración del plugin.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración del plugin, así como registros de acceso no autorizados o inusuales en el sistema.

Alcance afectado

El fallo afecta a todas las versiones del plugin ReserMy que utilicen el SDK de Freemius en versiones anteriores a la 2.2.3.