Shortcode Addons- with Visual Composer, Divi, Beaver Builder and Elementor Extension <= 3.1.2 - Authenticated Arbitrary Options Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Shortcode Addons, que permite la actualización arbitraria de opciones con autenticación. Esta falla afecta a las versiones hasta la 3.1.2 y podría comprometer seriamente la seguridad de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona las opciones de configuración, permitiendo a un atacante autenticado modificar opciones arbitrarias. Esto puede ser explotado a través de peticiones maliciosas que no son adecuadamente validadas por el sistema.

Impacto potencial

El impacto de esta vulnerabilidad es significativo, ya que un atacante podría alterar configuraciones críticas del plugin, lo que podría llevar a la pérdida de datos, alteraciones en la funcionalidad del sitio y potencial acceso no autorizado a información sensible.

Vector de explotación

Generalmente, la explotación se realiza mediante un atacante que ya tiene acceso a la cuenta de usuario, que envía solicitudes manipuladas al servidor para modificar las opciones del plugin sin las debidas restricciones.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.2.0 o superior. Además, se deben revisar los permisos de los usuarios y aplicar prácticas de seguridad recomendadas, como el uso de contraseñas fuertes y la autenticación de dos factores.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración del plugin o en las opciones del sitio, así como actividad inusual en las cuentas de usuario que tienen acceso administrativo.

Alcance afectado

Las versiones del plugin Shortcode Addons hasta la 3.1.2 son las afectadas. Es crucial verificar que las instalaciones no estén utilizando estas versiones vulnerables.