En este artículo trataremos sobre una vulnerabilidad en el plugin Customer Reviews for WooCommerce para WordPress, concretamente en su versión 5.38.12 y anteriores. Esta vulnerabilidad permite a atacantes no autenticados modificar datos de forma no autorizada mediante la función ‘submit_review’, lo que les permite enviar críticas con direcciones de correo electrónico arbitrarias, incluso si las críticas están deshabilitadas globalmente.
El plugin Customer Reviews for WooCommerce es una herramienta muy popular utilizada en muchos sitios web que utilizan WooCommerce. Sin embargo, la falta de una verificación de capacidad en la función ‘submit_review’ de este plugin permite que usuarios no autenticados puedan enviar críticas con direcciones de correo electrónico arbitrarias. Esto significa que cualquier persona, sin necesidad de autenticación, puede enviar una crítica falsa o maliciosa y modificar datos dentro del sistema.
Para subsanar esta vulnerabilidad, se recomienda actualizar el plugin a la última versión disponible, la cual soluciona este problema de autorización inapropiada. Además, se sugiere revisar las configuraciones de los permisos de los usuarios para asegurarse de que solo los usuarios autorizados puedan enviar críticas.
En resumen, es crucial que los administradores de sitios web que utilicen el plugin Customer Reviews for WooCommerce actualicen a la versión más reciente para evitar el riesgo de suplantación de identidad y manipulación de datos.
La vulnerabilidad de autorización inapropiada en Customer Reviews for WooCommerce <= 5.38.12 es un problema de seguridad serio que puede permitir a atacantes no autenticados enviar críticas falsas o maliciosas con direcciones de correo electrónico arbitrarias. Para protegerse contra esta vulnerabilidad, los usuarios deben actualizar su plugin a la última versión disponible y revisar las configuraciones de permisos. No se deben pasar por alto las actualizaciones de seguridad, ya que estas suelen solucionar problemas críticos que pueden comprometer la integridad de los datos del sitio web.