Recopilación de vulnerabilidades WordPress.

HUSKY – Vulnerabilidad de Referencia Directa a Objetos no Segura para Anular la Suscripción

El plugin HUSKY – Products Filter Professional for WooCommerce para WordPress es vulnerable a Referencia Directa a Objetos no Segura en todas las versiones hasta, e incluyendo, 1.3.6.1 a través de la acción AJAX woof_messenger_remove_subscr debido a la falta de validación en la clave controlada por el usuario. Esto permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, anular la suscripción de usuarios a notificaciones de producto, si pueden obtener con éxito o forzar por fuerza bruta el valor de la clave para usuarios que se registraron para recibir notificaciones. Esta vulnerabilidad requiere que la extensión Products Messenger del plugin esté habilitada.

La falta de Autorización adecuada en el plugin HUSKY para WooCommerce puede permitir a un atacante suscrito o con un nivel de acceso superior anular suscripciones de usuarios a notificaciones de productos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible. Además, se sugiere limitar el acceso del plugin solo a usuarios confiables y revisar de cerca las configuraciones de autorización del mismo.
Es crucial que los usuarios de HUSKY – Products Filter Professional for WooCommerce tomen medidas inmediatas para proteger sus sitios web de posibles ataques. Mantener el plugin actualizado y restringir el acceso sólo a usuarios confiables son medidas clave para evitar la explotación de esta vulnerabilidad CVE-2024-7491.

Related Article