Slider, Gallery, and Carousel by MetaSlider – Image Slider, Video Slider <= 3.92.0 - Cross-Site Request Forgery

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin MetaSlider, afectando a las versiones hasta la 3.92.0. Esta falla permite a un atacante realizar acciones no autorizadas en nombre de un usuario legítimo.

Contexto técnico

La vulnerabilidad CSRF permite a un atacante enviar solicitudes maliciosas desde un sitio externo que se ejecutan en el contexto de la sesión del usuario. Esto puede llevar a cambios no deseados en la configuración del plugin o en los contenidos gestionados por el mismo, afectando la integridad del sitio web.

Impacto potencial

El impacto en el negocio puede ser significativo, ya que un atacante podría modificar configuraciones críticas o inyectar contenido no autorizado, lo que podría dañar la reputación del sitio y comprometer la seguridad de los datos de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando enlaces maliciosos a los usuarios, instándolos a hacer clic en ellos mientras están autenticados en el sitio, lo que desencadena acciones no deseadas.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 3.92.1 o superior, donde se ha corregido esta vulnerabilidad. Además, implementar medidas de seguridad adicionales como la verificación de tokens CSRF en formularios y acciones críticas.

Señales de detección

Se deben monitorizar registros de actividad inusuales que indiquen cambios en la configuración del plugin o en el contenido, así como solicitudes que no correspondan a acciones legítimas de los usuarios.

Alcance afectado

Las versiones del plugin MetaSlider hasta la 3.92.0 están afectadas por esta vulnerabilidad. Se debe verificar la versión instalada en todos los sitios que utilicen este plugin.