Una reciente vulnerabilidad, considerada grave, ha sido publicada para el popular plugin «Abandoned Cart Lite for WooCommerce», una herramienta ampliamente utilizada en miles de tiendas online. La falla permite el acceso no autorizado a las cuentas de los usuarios que han dejado sus carros de compra «aparcados», incluyendo cuentas de usuarios con privilegios en la plataforma.
El error, que ha sido asignado con el código CVE-2023-2986, afecta a las versiones del plugin anteriores a la 5.14.2 y ha obtenido una puntuación de gravedad de 9.8 sobre 10 en la escala CVSS (Common Vulnerability Scoring System), sistema estándar para la clasificación de fallos de seguridad.
Según el sistema CVSS, una puntuación de 9.8 indica que la vulnerabilidad es crítica, pudiendo permitir el acceso no autorizado a información sensible, alteración de datos o incluso la toma de control total del sistema afectado. El CVE-2023-2986 se categoriza como una vulnerabilidad de alto riesgo que requiere una acción inmediata por parte de los administradores del sistema.
El error descubierto en «Abandoned Cart Lite for WooCommerce» puede permitir a los ciberdelincuentes acceder a los carros de compras abandonados por los usuarios y, en determinadas circunstancias, incluso acceder a cuentas de usuarios privilegiados, lo que podría dar lugar a un grave incumplimiento de la seguridad de la tienda online.
Esta vulnerabilidad ha sido documentada detalladamente en la base de datos de NIST (Instituto Nacional de Estándares y Tecnología) y puede ser consultada aquí. Además, existe un PoC (Proof of Concept) disponible en GitHub para aquellos interesados en entender más a fondo la naturaleza y el funcionamiento de este fallo de seguridad.
Se recomienda encarecidamente a todas las tiendas online que utilizan el plugin «Abandoned Cart Lite for WooCommerce» en versiones anteriores a la 5.14.2 que actualicen su software lo antes posible para protegerse contra esta vulnerabilidad crítica. Asimismo, es importante estar alerta y monitorizar cualquier actividad sospechosa en las cuentas de usuarios y en las transacciones comerciales.
La ciberseguridad sigue siendo un componente fundamental en el ecosistema digital, y los administradores de sistemas deben esforzarse por mantenerse al día con las últimas amenazas y vulnerabilidades para garantizar la seguridad de sus plataformas y de sus usuarios. En este sentido, es esencial no solo reaccionar a las amenazas conforme surgen, sino también tomar medidas proactivas para prevenir los posibles ataques.
