Google Adsense & Banner Ads by AdsforWP <= 1.8 - Cross-Site Request Forgery

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Google Adsense & Banner Ads by AdsforWP, que afecta a versiones anteriores a la 1.9. Esta vulnerabilidad tiene una severidad alta, con un CVSS de 8.8.

Contexto técnico

El fallo se origina en la falta de validación adecuada de las solicitudes enviadas desde el cliente, permitiendo a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado. La superficie de ataque se centra en la interacción del usuario con el plugin, donde se pueden enviar peticiones maliciosas sin el consentimiento del mismo.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar acciones no deseadas en la cuenta de un usuario, lo que podría resultar en cambios no autorizados en la configuración del plugin o en la manipulación de los anuncios, afectando la integridad del sitio y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad mediante la creación de formularios maliciosos que, al ser enviados por un usuario autenticado, ejecutan comandos en el contexto de su sesión, sin que el usuario lo sepa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.9 o superior. Además, se debe implementar una verificación de nonce en las solicitudes para asegurar que provienen de usuarios autenticados y legítimos.

Señales de detección

Señales de posible explotación incluyen cambios inesperados en la configuración del plugin, actividad inusual en las cuentas de usuario y registros de solicitudes que no coinciden con las acciones legítimas de los usuarios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.9 del plugin Google Adsense & Banner Ads by AdsforWP.