Fuente base de datos: Wordfence Intelligence

VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in savetranslation function

PLUGIN MEDIUM CVE-2023-25707

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin VikBooking Hotel Booking Engine & PMS, afectando a las versiones hasta la 1.5.12. Esta vulnerabilidad podría permitir a un atacante realizar acciones no autorizadas en nombre de un usuario legítimo.

Contexto técnico

La vulnerabilidad se encuentra en la función 'savetranslation', que no valida adecuadamente las solicitudes, permitiendo que un atacante envíe peticiones maliciosas que pueden ser ejecutadas por usuarios autenticados sin su consentimiento.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante realice cambios no autorizados en la configuración del plugin o acceda a datos sensibles, lo que podría comprometer la integridad del sitio y la confianza de los usuarios.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando enlaces maliciosos a usuarios autenticados, induciéndolos a hacer clic y ejecutar acciones en el sitio sin su conocimiento.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.6.0 o superior. Además, implementar medidas de seguridad adicionales como la verificación de nonce en formularios y el uso de tokens CSRF.

Señales de detección

Señales de explotación pueden incluir cambios inesperados en la configuración del plugin, actividad inusual en los registros de acceso o alertas de seguridad relacionadas con solicitudes no autorizadas.

Alcance afectado

Las versiones afectadas son todas aquellas hasta la 1.5.12 del plugin VikBooking Hotel Booking Engine & PMS.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

vikbooking