{"id":2556,"date":"2024-01-03T13:47:06","date_gmt":"2024-01-03T13:47:06","guid":{"rendered":"http:\/\/seguridadwordpress.es\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/"},"modified":"2024-01-03T13:47:06","modified_gmt":"2024-01-03T13:47:06","slug":"doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/","title":{"rendered":"Doofinder for WooCommerce <= 2.0.33 – Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX"},"content":{"rendered":"
El plugin Doofinder for WooCommerce para WordPress es vulnerable a la modificaci\u00f3n no autorizada de datos y la p\u00e9rdida de datos debido a la falta de una comprobaci\u00f3n de capacidad en las funciones AJAX an\u00f3nimas ‘doofinder_reset_credentials’ y ‘doofinder_force_update_on_save’ en versiones hasta, e incluyendo, 2.0.33. Esto permite a atacantes autenticados, con acceso a nivel de suscriptor y superior, restablecer credenciales y modificar la configuraci\u00f3n de actualizaci\u00f3n al guardar.<\/div>\n

<\/p>\n

El plugin Doofinder for WooCommerce es una herramienta muy utilizada para la mejora del motor de b\u00fasqueda en tiendas online basadas en WordPress. Sin embargo, en versiones antiguas, hasta la 2.0.33, se ha identificado un problema de seguridad importante relacionado con la autorizaci\u00f3n de las acciones AJAX utilizadas por el plugin.<\/p>\n

El problema radica en que el plugin no realiza una verificaci\u00f3n adecuada de la capacidad de los usuarios que realizan las acciones ‘doofinder_reset_credentials’ y ‘doofinder_force_update_on_save’. Esto significa que los atacantes autenticados, con niveles de acceso de suscriptor o superiores, pueden aprovechar estas acciones para restablecer las credenciales y modificar la configuraci\u00f3n de actualizaci\u00f3n al guardar. Esto podr\u00eda llevar a la modificaci\u00f3n no autorizada de datos y la p\u00e9rdida de los mismos.<\/p>\n

Para subsanar este problema, se recomienda actualizar el plugin a la \u00faltima versi\u00f3n disponible, que deber\u00eda corregir la vulnerabilidad de autorizaci\u00f3n faltante. Adem\u00e1s, se aconseja revisar los permisos de los usuarios con acceso al panel de administraci\u00f3n de WordPress, asegur\u00e1ndose de que solo cuenten con los niveles de acceso necesarios para realizar sus tareas. Tambi\u00e9n se pueden implementar soluciones adicionales para reforzar la seguridad, como el uso de plugins de seguridad y la monitorizaci\u00f3n de las actividades sospechosas.<\/p>\n

En resumen, es fundamental actualizar el plugin Doofinder for WooCommerce a la \u00faltima versi\u00f3n y revisar los permisos de los usuarios para evitar posibles ataques de modificaci\u00f3n de datos y p\u00e9rdida de informaci\u00f3n.<\/p><\/div>\n

La versi\u00f3n antigua del plugin Doofinder for WooCommerce presenta un problema de seguridad relacionado con la autorizaci\u00f3n en las acciones AJAX utilizadas. Esto puede permitir a atacantes autenticados, con niveles de acceso de suscriptor o superiores, realizar modificaciones no autorizadas en los datos y causar p\u00e9rdida de informaci\u00f3n. Para solucionar este problema, es necesario actualizar el plugin a la \u00faltima versi\u00f3n disponible y revisar los permisos de los usuarios con acceso al panel de administraci\u00f3n. Adem\u00e1s, se recomienda implementar medidas de seguridad adicionales, como el uso de plugins de seguridad y la monitorizaci\u00f3n de actividades sospechosas.<\/div>\n","protected":false},"excerpt":{"rendered":"

El plugin Doofinder for WooCommerce para WordPress es vulnerable a la modificaci\u00f3n no autorizada de datos y la p\u00e9rdida de datos debido a la falta de una comprobaci\u00f3n de capacidad en las funciones AJAX an\u00f3nimas ‘doofinder_reset_credentials’ y ‘doofinder_force_update_on_save’ en versiones hasta, e incluyendo, 2.0.33. Esto permite a atacantes autenticados, con acceso a nivel de suscriptor […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[309],"class_list":["post-2556","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2023-51678"],"yoast_head":"\nDoofinder for WooCommerce <= 2.0.33 - Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Doofinder for WooCommerce <= 2.0.33 - Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"El plugin Doofinder for WooCommerce para WordPress es vulnerable a la modificaci\u00f3n no autorizada de datos y la p\u00e9rdida de datos debido a la falta de una comprobaci\u00f3n de capacidad en las funciones AJAX an\u00f3nimas ‘doofinder_reset_credentials’ y ‘doofinder_force_update_on_save’ en versiones hasta, e incluyendo, 2.0.33. Esto permite a atacantes autenticados, con acceso a nivel de suscriptor […]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-03T13:47:06+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/\",\"url\":\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/\",\"name\":\"Doofinder for WooCommerce <= 2.0.33 - Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-01-03T13:47:06+00:00\",\"dateModified\":\"2024-01-03T13:47:06+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Doofinder for WooCommerce <= 2.0.33 – Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Doofinder for WooCommerce <= 2.0.33 - Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/","og_locale":"en_US","og_type":"article","og_title":"Doofinder for WooCommerce <= 2.0.33 - Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX - SeguridadWordPress.es","og_description":"El plugin Doofinder for WooCommerce para WordPress es vulnerable a la modificaci\u00f3n no autorizada de datos y la p\u00e9rdida de datos debido a la falta de una comprobaci\u00f3n de capacidad en las funciones AJAX an\u00f3nimas ‘doofinder_reset_credentials’ y ‘doofinder_force_update_on_save’ en versiones hasta, e incluyendo, 2.0.33. Esto permite a atacantes autenticados, con acceso a nivel de suscriptor […]","og_url":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-01-03T13:47:06+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/","url":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/","name":"Doofinder for WooCommerce <= 2.0.33 - Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-01-03T13:47:06+00:00","dateModified":"2024-01-03T13:47:06+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/doofinder-for-woocommerce-2-0-33-autorizacion-faltante-a-traves-de-multiples-acciones-ajax\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Doofinder for WooCommerce <= 2.0.33 – Autorizaci\u00f3n faltante a trav\u00e9s de m\u00faltiples acciones AJAX"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2556"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2556"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2556\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2556"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}