Merge + Minify + Refresh <= 1.10.7 - Cross-Site Request Forgery leading to Arbitrary File Deletion and Site Reset

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Merge + Minify + Refresh, que permite la eliminación arbitraria de archivos y el reinicio del sitio. Esta vulnerabilidad afecta a las versiones hasta la 1.10.7 y tiene una alta gravedad con un puntaje CVSS de 8.3.

Contexto técnico

El fallo se produce debido a la falta de validación adecuada de las solicitudes, lo que permite a un atacante enviar peticiones maliciosas en nombre de un usuario autenticado. Esto puede resultar en la eliminación de archivos críticos del sitio o incluso en su reinicio completo, comprometiendo la integridad del entorno WordPress.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la pérdida de datos importantes y a la interrupción del servicio, lo que podría afectar gravemente la reputación y la operativa del negocio. Además, la eliminación de archivos puede dificultar la recuperación del sitio sin copias de seguridad adecuadas.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando enlaces maliciosos o formularios que, al ser abiertos por un usuario autenticado, ejecutan acciones no deseadas en el sitio afectado.

Mitigación recomendada

Se recomienda actualizar el plugin Merge + Minify + Refresh a la versión 1.10.8 o superior. Además, es aconsejable implementar medidas de seguridad adicionales, como el uso de tokens CSRF en formularios y la verificación de las solicitudes antes de procesarlas.

Señales de detección

Se deben monitorizar registros de acceso y actividad del sitio en busca de patrones inusuales, como solicitudes a URLs críticas sin la debida autenticación o desde direcciones IP sospechosas.

Alcance afectado

Las versiones del plugin Merge + Minify + Refresh hasta la 1.10.7 están afectadas. Las instalaciones que no han actualizado a la versión 1.10.8 o superior son vulnerables.