Freemius SDK <= 2.4.2 - Missing Authorization Checks

Resumen ejecutivo

Se ha detectado una vulnerabilidad de tipo 'Missing Authorization Checks' en el plugin Modern Addons para Elementor, afectando a las versiones de Freemius SDK hasta la 2.4.2. Esta vulnerabilidad tiene una severidad media, con un CVSS de 6.3.

Contexto técnico

El fallo se origina en la falta de comprobaciones de autorización en el SDK de Freemius, lo que permite a usuarios no autenticados realizar acciones que deberían estar restringidas. La superficie de ataque se centra en las funcionalidades del plugin que interactúan con el SDK.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante no autorizado acceder a funciones críticas del plugin, comprometiendo así la integridad y la disponibilidad de la instalación de WordPress. Esto puede llevar a la pérdida de datos o a la manipulación del contenido del sitio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que no están adecuadamente protegidas, permitiendo la ejecución de acciones no autorizadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Modern Addons para Elementor a la versión 1.2.0 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar buenas prácticas de hardening en la instalación de WordPress.

Señales de detección

Se debe estar atento a registros de acceso inusuales que intenten acceder a funciones restringidas del plugin, así como a cambios no autorizados en el contenido del sitio.

Alcance afectado

Las versiones del plugin Modern Addons para Elementor que utilizan Freemius SDK hasta la 2.4.2 son las afectadas. La versión corregida es la 1.2.0.