Void Elementor Post Grid Addon for Elementor Page builder <= 2.1.10 - Missing Authorization to Review Notice Dismissal

Resumen ejecutivo

Se ha identificado una vulnerabilidad de gravedad media en el complemento 'Void Elementor Post Grid Addon for Elementor Page Builder' en versiones hasta la 2.1.10. Esta vulnerabilidad permite la falta de autorización para la eliminación de notificaciones, lo que podría comprometer la seguridad del sitio.

Contexto técnico

El fallo se origina en la ausencia de controles de autorización adecuados al gestionar las notificaciones del complemento. Esto permite que usuarios no autorizados puedan manipular la configuración de notificaciones, afectando la integridad del sistema.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante pueda eliminar o modificar notificaciones críticas, lo que podría llevar a la desinformación de los administradores y a la exposición de otros vectores de ataque en el sitio.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante el envío de solicitudes manipuladas que no requieren autorización adecuada, permitiendo a un atacante realizar acciones no permitidas en el sistema.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el complemento a la versión 2.2 o superior. Además, se sugiere revisar los permisos de usuario y aplicar buenas prácticas de seguridad en la gestión de complementos.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en las configuraciones de notificaciones y registros de accesos inusuales en el panel de administración del sitio.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.2 del complemento 'Void Elementor Post Grid Addon for Elementor Page Builder'.