Under Construction <= 3.96 - Cross-Site Request Forgery via admin_action_install_weglot

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Under Construction, que afecta a versiones hasta la 3.96. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en el contexto de un usuario autenticado.

Contexto técnico

La vulnerabilidad se origina en la falta de validación de solicitudes en el plugin, específicamente en la acción 'admin_action_install_weglot'. Esto permite que un atacante envíe solicitudes maliciosas que el servidor puede interpretar como legítimas, comprometiendo así la seguridad del sitio.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, ya que podría permitir a un atacante ejecutar acciones no deseadas en el sitio afectado, lo que podría llevar a la pérdida de datos o a la modificación no autorizada de la configuración del plugin.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes CSRF a usuarios autenticados que tengan permisos de administración, lo que podría resultar en la instalación de un plugin no deseado o en cambios en la configuración del sitio.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Under Construction a la versión 3.97 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como el uso de tokens CSRF y la revisión de permisos de usuario.

Señales de detección

Señales de riesgo pueden incluir actividad inusual en el panel de administración, como cambios no autorizados en la configuración del plugin o la instalación de plugins desconocidos.

Alcance afectado

Las versiones del plugin Under Construction hasta la 3.96 son las que se encuentran afectadas por esta vulnerabilidad. Se recomienda a los usuarios de estas versiones que realicen la actualización correspondiente.