Complianz - GDPR/CCPA Cookie Consent <= 6.4.4 - Cross-Site Request Forgery via ajax_script_add

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Complianz - GDPR/CCPA Cookie Consent, que afecta a las versiones hasta la 6.4.4. Esta vulnerabilidad puede ser explotada para realizar acciones no autorizadas en nombre de los usuarios.

Contexto técnico

El fallo se produce a través de la función 'ajax_script_add' del plugin, que no valida adecuadamente las solicitudes, permitiendo a un atacante ejecutar acciones maliciosas mediante peticiones engañosas. La superficie de ataque se amplía a cualquier usuario que tenga la capacidad de interactuar con el plugin sin la debida autenticación.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad de los datos del usuario y permitir a un atacante realizar acciones no autorizadas, lo que podría resultar en pérdida de confianza por parte de los usuarios y daños a la reputación del negocio.

Vector de explotación

Generalmente, los atacantes pueden aprovechar esta vulnerabilidad enviando peticiones maliciosas a través de formularios o enlaces manipulados que los usuarios son inducidos a activar, sin que estos sean conscientes del riesgo.

Mitigación recomendada

Actualizar el plugin Complianz - GDPR/CCPA Cookie Consent a la versión 6.4.5 o superior para mitigar la vulnerabilidad. Además, se recomienda implementar medidas de seguridad adicionales como la validación de solicitudes y el uso de tokens CSRF.

Señales de detección

Señales de riesgo incluyen actividad inusual en las peticiones AJAX relacionadas con el plugin, así como cambios no autorizados en la configuración del plugin o en los consentimientos de cookies.

Alcance afectado

Las versiones del plugin Complianz - GDPR/CCPA Cookie Consent hasta la 6.4.4 están afectadas por esta vulnerabilidad, lo que incluye todas las instalaciones que utilicen estas versiones.