Admin Menu Editor <= 1.12 - Cross-Site Request Forgery via ajax_hide_hint()

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Admin Menu Editor en versiones hasta la 1.12. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado.

Contexto técnico

El fallo se origina en la función ajax_hide_hint(), que no valida adecuadamente las solicitudes entrantes, permitiendo que un atacante envíe peticiones maliciosas que pueden ser ejecutadas por el usuario sin su consentimiento.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad del sitio web, permitiendo que un atacante realice cambios en la configuración del menú de administración, lo que podría afectar la operativa del negocio y la seguridad general del sistema.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes CSRF a un usuario autenticado, lo que les permite ejecutar acciones no deseadas sin que la víctima lo sepa.

Mitigación recomendada

Se recomienda actualizar el plugin Admin Menu Editor a la versión 1.12.1 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la validación de tokens CSRF en las peticiones AJAX y el uso de plugins de seguridad que ayuden a mitigar este tipo de vulnerabilidades.

Señales de detección

Señales de riesgo incluyen la presencia de solicitudes AJAX inusuales en el registro de actividad del sitio y cambios inesperados en la configuración del menú de administración.

Alcance afectado

Las versiones del plugin Admin Menu Editor hasta la 1.12 son las afectadas. Es crucial verificar la versión instalada en los sitios para asegurar que no se está utilizando una versión vulnerable.