Master Addons for Elementor <= 2.0.5.4.1 - Missing Authorization via get_jltma_save_menuitem_settings() (falta de autorizacion) - version 2.0.5.6

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Master Addons para Elementor, que afecta a versiones hasta la 2.0.5.4.1. Esta falla permite a usuarios no autorizados acceder a configuraciones sensibles del plugin.

Contexto técnico

La vulnerabilidad se origina en la función get_jltma_save_menuitem_settings(), que carece de controles adecuados de autorización. Esto permite que un atacante pueda realizar llamadas a esta función sin la debida validación de permisos, exponiendo así la configuración del plugin.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante modificar configuraciones del plugin, lo que podría comprometer la funcionalidad del sitio web y potencialmente permitir ataques adicionales o la exposición de datos sensibles.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes directas a la función vulnerable sin la necesidad de autenticación previa, lo que les permite manipular configuraciones del plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Master Addons a la versión 2.0.5.6 o superior. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales en la configuración del sitio.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin o intentos de acceso a la función get_jltma_save_menuitem_settings() desde direcciones IP no reconocidas.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.0.5.6 del plugin Master Addons para Elementor.