Dragfy Addons for Elementor <= 1.0.2 - Missing Authorization via save_settings

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Dragfy Addons for Elementor, que afecta a las versiones hasta la 1.0.2. Esta falla puede permitir a un atacante realizar cambios no autorizados en la configuración del plugin.

Contexto técnico

La vulnerabilidad se debe a la falta de control de autorización en la función 'save_settings' del plugin. Esto permite que usuarios no autenticados puedan modificar ajustes críticos del plugin, lo que expone a los sitios web a configuraciones maliciosas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante alterar la configuración del plugin, lo que podría comprometer la integridad del sitio web y afectar la confianza de los usuarios. Además, puede facilitar la instalación de código malicioso.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la función 'save_settings' sin necesidad de autenticación previa, lo que les permite modificar la configuración del plugin.

Mitigación recomendada

Se recomienda actualizar el plugin Dragfy Addons for Elementor a la versión 1.0.2 o superior. Además, es aconsejable revisar los permisos de los usuarios y aplicar medidas de seguridad adicionales, como limitar el acceso al panel de administración.

Señales de detección

Señales de explotación incluyen cambios inesperados en la configuración del plugin o registros de acceso inusuales a la función 'save_settings'. Monitorear el tráfico HTTP hacia el plugin puede ayudar a detectar actividades sospechosas.

Alcance afectado

Las versiones del plugin Dragfy Addons for Elementor anteriores a la 1.0.2 son vulnerables. Es fundamental verificar todas las instalaciones que utilicen este plugin.