Royal Elementor Addons and Templates <= 1.3.87 - Cross-Site Request Forgery via wpr_update_form_action_meta

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Royal Elementor Addons y Templates, que afecta a versiones hasta la 1.3.87. Esta vulnerabilidad podría permitir a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado.

Contexto técnico

El fallo se encuentra en la forma en que el plugin maneja las solicitudes de actualización, específicamente en el manejo de la acción 'wpr_update_form_action_meta'. La falta de validación adecuada permite que un atacante envíe solicitudes maliciosas a un usuario autenticado, lo que podría comprometer la seguridad del sitio.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en cambios no autorizados en la configuración del plugin, lo que podría afectar la funcionalidad del sitio y comprometer datos sensibles. Esto podría tener repercusiones financieras y de reputación para las organizaciones afectadas.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al engañar a un usuario autenticado para que haga clic en un enlace malicioso o visite una página manipulada que envíe una solicitud CSRF al plugin.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin a la versión 1.3.88 o superior. Además, se sugiere implementar medidas de seguridad adicionales, como la validación de nonce en las solicitudes y el uso de políticas de seguridad de contenido.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración del plugin, así como la presencia de solicitudes inusuales en los registros de acceso que no corresponden a acciones legítimas de usuarios.

Alcance afectado

Las versiones del plugin Royal Elementor Addons y Templates hasta la 1.3.87 son vulnerables. Las instalaciones que no han actualizado a la versión 1.3.88 o superior están en riesgo.