Complianz - GDPR/CCPA Cookie Consent <= 6.4.4 - Cross-Site Request Forgery via ajax_delete_snapshot

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Complianz - GDPR/CCPA Cookie Consent, afectando a las versiones hasta la 6.4.4. Esta vulnerabilidad puede permitir a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado.

Contexto técnico

La vulnerabilidad se presenta en la funcionalidad ajax_delete_snapshot del plugin, que no valida adecuadamente las solicitudes, permitiendo que un atacante ejecute comandos maliciosos a través de peticiones HTTP manipuladas.

Impacto potencial

Si se explota, esta vulnerabilidad puede comprometer la integridad de los datos del usuario y permitir acciones no deseadas, lo que podría resultar en la pérdida de confianza de los usuarios y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a través de formularios o enlaces engañosos que un usuario autenticado podría activar sin darse cuenta.

Mitigación recomendada

Actualizar el plugin Complianz - GDPR/CCPA Cookie Consent a la versión 6.4.5 o superior para corregir la vulnerabilidad. Además, se recomienda implementar medidas de seguridad adicionales como la verificación de nonce en las peticiones AJAX.

Señales de detección

Monitorizar los registros de acceso en busca de patrones inusuales de solicitudes AJAX que puedan indicar intentos de explotación, así como alertas sobre cambios inesperados en los datos del usuario.

Alcance afectado

Las versiones del plugin Complianz - GDPR/CCPA Cookie Consent hasta la 6.4.4 son vulnerables. La versión 6.4.5 ha corregido esta vulnerabilidad.