Royal Elementor Addons and Templates <= 1.3.87 - Cross-Site Request Forgery via add_to_compare

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Royal Elementor Addons y Templates, que afecta a las versiones hasta la 1.3.87. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario legítimo.

Contexto técnico

La vulnerabilidad CSRF permite que un atacante envíe solicitudes maliciosas a un sitio web en el que un usuario está autenticado, aprovechando la confianza que el sitio tiene en el navegador del usuario. En este caso, el fallo se encuentra en la función 'add_to_compare' del plugin, que no valida adecuadamente las solicitudes, facilitando así el ataque.

Impacto potencial

El impacto potencial de esta vulnerabilidad es medio, con un CVSS score de 4.3. Un atacante podría realizar acciones no deseadas que comprometan la integridad de los datos del usuario o la funcionalidad del sitio, lo que podría afectar la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando un enlace malicioso a un usuario autenticado, que al hacer clic, ejecuta la acción no autorizada sin su consentimiento.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.3.88 o superior. Además, se sugiere implementar medidas adicionales de seguridad, como la verificación de tokens CSRF en las solicitudes y la revisión de los permisos de los usuarios.

Señales de detección

Señales de riesgo pueden incluir actividades inusuales en las acciones de los usuarios, como cambios en la configuración del plugin o en las comparaciones de productos sin intervención del usuario.

Alcance afectado

Las versiones del plugin Royal Elementor Addons y Templates hasta la 1.3.87 son las afectadas. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión.