El plugin Doofinder for WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos y la pérdida de datos debido a la falta de una comprobación de capacidad en las funciones AJAX anónimas ‘doofinder_reset_credentials’ y ‘doofinder_force_update_on_save’ en versiones hasta, e incluyendo, 2.0.33. Esto permite a atacantes autenticados, con acceso a nivel de suscriptor y superior, restablecer credenciales y modificar la configuración de actualización al guardar.
El plugin Doofinder for WooCommerce es una herramienta muy utilizada para la mejora del motor de búsqueda en tiendas online basadas en WordPress. Sin embargo, en versiones antiguas, hasta la 2.0.33, se ha identificado un problema de seguridad importante relacionado con la autorización de las acciones AJAX utilizadas por el plugin.
El problema radica en que el plugin no realiza una verificación adecuada de la capacidad de los usuarios que realizan las acciones ‘doofinder_reset_credentials’ y ‘doofinder_force_update_on_save’. Esto significa que los atacantes autenticados, con niveles de acceso de suscriptor o superiores, pueden aprovechar estas acciones para restablecer las credenciales y modificar la configuración de actualización al guardar. Esto podría llevar a la modificación no autorizada de datos y la pérdida de los mismos.
Para subsanar este problema, se recomienda actualizar el plugin a la última versión disponible, que debería corregir la vulnerabilidad de autorización faltante. Además, se aconseja revisar los permisos de los usuarios con acceso al panel de administración de WordPress, asegurándose de que solo cuenten con los niveles de acceso necesarios para realizar sus tareas. También se pueden implementar soluciones adicionales para reforzar la seguridad, como el uso de plugins de seguridad y la monitorización de las actividades sospechosas.
En resumen, es fundamental actualizar el plugin Doofinder for WooCommerce a la última versión y revisar los permisos de los usuarios para evitar posibles ataques de modificación de datos y pérdida de información.
La versión antigua del plugin Doofinder for WooCommerce presenta un problema de seguridad relacionado con la autorización en las acciones AJAX utilizadas. Esto puede permitir a atacantes autenticados, con niveles de acceso de suscriptor o superiores, realizar modificaciones no autorizadas en los datos y causar pérdida de información. Para solucionar este problema, es necesario actualizar el plugin a la última versión disponible y revisar los permisos de los usuarios con acceso al panel de administración. Además, se recomienda implementar medidas de seguridad adicionales, como el uso de plugins de seguridad y la monitorización de actividades sospechosas.