AB Google Map Travel <= 4.6 - Cross-Site Request Forgery to Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) que permite la ejecución de scripts en el plugin AB Google Map Travel hasta la versión 4.6. Esta vulnerabilidad tiene un nivel de severidad medio, con un CVSS de 6.1.

Contexto técnico

El fallo se produce debido a la falta de validación adecuada de las solicitudes, lo que permite a un atacante enviar peticiones maliciosas que pueden resultar en la ejecución de scripts no autorizados en el navegador de un usuario, afectando así a la seguridad de la aplicación.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante ejecute código malicioso en el contexto de la sesión de un usuario, lo que podría comprometer datos sensibles o permitir acciones no autorizadas en la aplicación, afectando la confianza del usuario y la integridad del sistema.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante el envío de enlaces o formularios manipulados que inducen a los usuarios a realizar acciones involuntarias mientras están autenticados en la aplicación.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin AB Google Map Travel a la versión 4.6 o superior. Además, se sugiere implementar medidas de seguridad adicionales como la verificación de nonce en las solicitudes y la validación de origen.

Señales de detección

Señales de riesgo pueden incluir actividades inusuales en los registros de acceso, como solicitudes inesperadas que intentan modificar configuraciones o datos sin la debida autorización.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin AB Google Map Travel anteriores a la 4.6.