VikBooking Hotel Booking Engine & PMS <= 1.5.12 - Cross-Site Request Forgery in exec_multitask_widgets function

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin VikBooking Hotel Booking Engine & PMS, que afecta a las versiones hasta la 1.5.12. Esta vulnerabilidad podría permitir a un atacante ejecutar acciones no autorizadas en nombre de un usuario legítimo.

Contexto técnico

La vulnerabilidad se encuentra en la función exec_multitask_widgets del plugin, que no valida adecuadamente las solicitudes entrantes, permitiendo la manipulación de acciones críticas sin la autorización del usuario.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante realizar acciones en la plataforma de reservas que podrían comprometer la integridad de los datos y la confianza del usuario, afectando potencialmente la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad mediante la creación de solicitudes maliciosas que los usuarios legítimos pueden activar sin su conocimiento, generalmente a través de un enlace engañoso o un formulario en una página web comprometida.

Mitigación recomendada

Es crucial actualizar el plugin VikBooking a la versión 1.6.0 o superior para mitigar esta vulnerabilidad. Además, se recomienda implementar medidas de seguridad adicionales, como la verificación de tokens CSRF en todas las solicitudes críticas.

Señales de detección

Se pueden observar señales de riesgo, como un aumento inusual en las solicitudes a la función exec_multitask_widgets o la actividad sospechosa en las cuentas de usuario, que podrían indicar un intento de explotación.

Alcance afectado

Las versiones del plugin VikBooking hasta la 1.5.12 están afectadas por esta vulnerabilidad. Las instalaciones que no hayan actualizado a la versión 1.6.0 corren un riesgo potencial.