Product Feed PRO for WooCommerce by AdTribes – Product Feeds for WooCommerce 13.4.6 - 13.5.2.1 - Cross-Site Request Forgery to Multiple Administrative Actions

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Product Feed PRO para WooCommerce, que afecta a las versiones desde 13.4.6 hasta 13.5.2.1. Esta falla permite realizar acciones administrativas no autorizadas, lo que puede comprometer la integridad del sitio.

Contexto técnico

La vulnerabilidad se presenta en el plugin Product Feed PRO para WooCommerce, permitiendo a un atacante ejecutar acciones administrativas a través de solicitudes maliciosas. La exposición ocurre cuando un usuario autenticado visita un enlace manipulado que desencadena la acción sin su consentimiento.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante realizar cambios en la configuración del plugin o en los productos, afectando la operativa del negocio y la confianza del cliente. La severidad de la vulnerabilidad está clasificada como alta (CVSS 8.8).

Vector de explotación

Suele explotarse mediante el envío de un enlace malicioso a un usuario autenticado, quien, al hacer clic, ejecuta acciones administrativas sin su conocimiento.

Mitigación recomendada

Actualizar el plugin Product Feed PRO para WooCommerce a la versión 13.5.2.2 o superior. Revisar los permisos de los usuarios y limitar el acceso a funciones administrativas solo a usuarios de confianza. Implementar medidas de seguridad adicionales, como la verificación de tokens CSRF en formularios y acciones críticas.

Señales de detección

Monitorear los registros de acceso para identificar solicitudes inusuales que podrían indicar un intento de explotación. Prestar atención a cambios no autorizados en la configuración del plugin.

Alcance afectado

Las versiones afectadas son desde 13.4.6 hasta 13.5.2.1. Las instalaciones que hayan actualizado a la versión 13.5.2.2 o superior no están afectadas.