Gold Addons for Elementor <= 1.3.2 - Missing Authorization to Authenticated (Subscriber+) License Activation/Deactivation

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Gold Addons para Elementor, que afecta a las versiones hasta 1.3.2. Esta falla permite la activación y desactivación de licencias sin la autorización adecuada para usuarios autenticados con rol de suscriptor o superior.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en las funciones de activación y desactivación de licencias del plugin. Esto permite que usuarios no autorizados, que ya han iniciado sesión, puedan realizar acciones que deberían estar restringidas.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios malintencionados manipular las licencias del plugin, lo que podría llevar a un uso indebido de funcionalidades premium o a la desactivación de servicios críticos, afectando la operativa del sitio web.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad accediendo al área de administración del sitio con credenciales de usuario autenticado y realizando solicitudes para activar o desactivar licencias sin la debida autorización.

Mitigación recomendada

Actualizar el plugin Gold Addons para Elementor a la versión 1.3.2 o superior. Además, se recomienda revisar los roles y permisos de los usuarios para asegurarse de que solo los usuarios autorizados tengan acceso a funcionalidades críticas.

Señales de detección

Se deben monitorizar los registros de actividad del plugin para detectar intentos no autorizados de activación o desactivación de licencias. También se puede implementar un sistema de alertas para cambios en la configuración de licencias.

Alcance afectado

Las versiones del plugin Gold Addons para Elementor hasta la 1.3.2 son susceptibles a esta vulnerabilidad. Cualquier instalación que utilice estas versiones está en riesgo.