Appointment Booking Calendar <= 1.6.9.29 - Missing Authorization to Unauthenticated Sensitive Information Exposure via Settings REST API Endpoint

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Appointment Booking Calendar' en versiones hasta la 1.6.9.29, que permite la exposición no autorizada de información sensible a través de un endpoint de la API REST. Esta falla de autorización puede ser explotada por usuarios no autenticados.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en un endpoint de la API REST del plugin, lo que permite a los atacantes acceder a información sensible sin necesidad de autenticarse. Esto se considera un bypass de autenticación.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante acceder a datos sensibles del sistema, lo que podría comprometer la seguridad de la información y la confianza de los usuarios. Esto podría resultar en daños a la reputación de la empresa y posibles implicaciones legales.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes a la API REST del plugin para acceder a información sensible sin la necesidad de autenticación previa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.6.10.0 o superior. Además, se deben revisar las configuraciones de seguridad del sitio y considerar implementar medidas adicionales de autenticación y autorización en los endpoints de la API.

Señales de detección

Señales de riesgo incluyen accesos inusuales a la API REST del plugin, especialmente desde direcciones IP no reconocidas o intentos de acceso a datos sensibles sin autenticación.

Alcance afectado

Las versiones afectadas del plugin 'Appointment Booking Calendar' son todas hasta la 1.6.9.29. Las instalaciones que utilicen estas versiones están en riesgo.