Advanced Database Cleaner <= 3.1.1 - Cross-Site Request Forgery via aDBc_save_settings_callback

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Advanced Database Cleaner, que afecta a las versiones hasta la 3.1.1. Esta vulnerabilidad puede ser explotada para manipular la configuración del plugin sin el consentimiento del usuario.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las solicitudes, permitiendo a un atacante enviar peticiones maliciosas que pueden modificar la configuración del plugin. Esto se puede realizar sin autenticación del usuario, lo que aumenta la superficie de ataque.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante modificar configuraciones críticas del plugin, lo que podría comprometer la integridad de la base de datos y la seguridad general del sitio web.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando enlaces maliciosos a usuarios autenticados del sitio, induciéndolos a hacer clic y ejecutar acciones no deseadas en el plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Advanced Database Cleaner a la versión 3.1.2 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la verificación de nonce en las solicitudes.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin o actividad inusual en los registros de acceso que indiquen solicitudes sospechosas.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Advanced Database Cleaner hasta la 3.1.1. La versión 3.1.2 y posteriores no están afectadas.