VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in exec_admin_widget function

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin VikBooking Hotel Booking Engine & PMS, afectando a las versiones hasta la 1.5.12. Esta falla permite a un atacante realizar acciones no autorizadas en el contexto de un usuario autenticado.

Contexto técnico

La vulnerabilidad se encuentra en la función exec_admin_widget del plugin, que no valida adecuadamente las solicitudes, permitiendo que un atacante envíe peticiones maliciosas en nombre de un usuario legítimo. Esto se traduce en un riesgo de manipulación de datos o ejecución de acciones no deseadas.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede incluir la alteración de configuraciones del plugin, acceso no autorizado a datos sensibles o incluso la posibilidad de comprometer la cuenta de un usuario administrador. Esto podría resultar en una pérdida de confianza por parte de los clientes y daños a la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes maliciosas a través de formularios o enlaces engañosos, que son activados por usuarios autenticados sin su conocimiento.

Mitigación recomendada

Actualizar el plugin VikBooking a la versión 1.6.0 o superior para corregir esta vulnerabilidad. Además, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en formularios y la revisión de permisos de usuario.

Señales de detección

Señales de riesgo incluyen actividad inusual en los registros de acceso, cambios inesperados en la configuración del plugin y alertas de seguridad relacionadas con el uso de funciones administrativas sin autorización.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.6.0 del plugin VikBooking Hotel Booking Engine & PMS.