ReDi Restaurant Reservation <= 24.0128 - Cross-Site Request Forgery via redi_restaurant_admin_options_page()

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin ReDi Restaurant Reservation, que afecta a las versiones hasta la 24.0128. Esta falla permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado.

Contexto técnico

La vulnerabilidad se presenta en la función redi_restaurant_admin_options_page(), que no valida adecuadamente las solicitudes, permitiendo que un atacante envíe peticiones maliciosas a la administración del plugin. Esto puede comprometer la integridad de la configuración del plugin y de la información gestionada.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante manipular configuraciones y datos del plugin, lo que podría resultar en la alteración de reservas o en la exposición de información sensible. Esto puede afectar la reputación del negocio y la confianza de los usuarios.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza a través de la ingeniería social, donde el atacante induce a un usuario autenticado a hacer clic en un enlace malicioso que ejecuta la acción no autorizada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 24.0303 o superior. Además, se debe implementar una revisión de las configuraciones de seguridad y considerar el uso de medidas adicionales de protección contra CSRF.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin o en las reservas, así como la aparición de peticiones sospechosas en los registros del servidor que coincidan con la función vulnerable.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 24.0303 del plugin ReDi Restaurant Reservation.