VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in save_admin_widgets function

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin VikBooking Hotel Booking Engine & PMS, que afecta a las versiones hasta la 1.5.12. Esta falla permite a un atacante realizar acciones no autorizadas en nombre de un usuario legítimo.

Contexto técnico

El fallo se encuentra en la función save_admin_widgets del plugin, donde no se valida adecuadamente la autenticidad de las solicitudes. Esto permite que un atacante envíe solicitudes maliciosas que pueden ser ejecutadas por un usuario autenticado sin su conocimiento.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de la configuración del plugin y potencialmente permitir a un atacante manipular datos o funcionalidades críticas del sistema, lo que podría resultar en pérdidas económicas o daños a la reputación del negocio.

Vector de explotación

Generalmente, la explotación se realiza mediante el envío de solicitudes maliciosas a través de formularios o enlaces engañosos que inducen a los usuarios autenticados a realizar acciones no deseadas.

Mitigación recomendada

Actualizar el plugin VikBooking a la versión 1.6.0 o superior de inmediato. Además, es recomendable implementar medidas de seguridad adicionales como la verificación de nonce para solicitudes críticas y la revisión de permisos de usuario.

Señales de detección

Señales de explotación incluyen cambios inesperados en la configuración del plugin, actividad inusual en los registros de acceso y notificaciones de acciones realizadas sin autorización por parte de usuarios legítimos.

Alcance afectado

Las versiones del plugin VikBooking hasta la 1.5.12 son vulnerables. Las instalaciones que no han actualizado a la versión 1.6.0 están en riesgo.