Freemius SDK <= 2.2.3 - Missing Authorization to Arbitrary Options Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Animate Everything' relacionado con el SDK de Freemius, que permite la actualización arbitraria de opciones sin la debida autorización. Esta falla, con un CVSS de 8.8, puede comprometer la seguridad del sitio web.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización adecuados en el SDK de Freemius, versión 2.2.3 y anteriores. Esto permite que un atacante pueda realizar actualizaciones no autorizadas en las opciones del plugin, afectando su funcionamiento y configuración.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante modificar configuraciones críticas del plugin, lo que podría llevar a la pérdida de datos, alteración del comportamiento del sitio web o incluso la toma de control total del mismo.

Vector de explotación

Normalmente, esta vulnerabilidad se explota mediante el envío de solicitudes manipuladas que aprovechan la falta de autorización en el SDK, permitiendo así que un atacante cambie opciones del plugin sin restricciones.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin 'Animate Everything' a la versión 1.3.2 o superior, donde se ha corregido el fallo. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar buenas prácticas de hardening.

Señales de detección

Las señales de posible explotación incluyen cambios no autorizados en las configuraciones del plugin y registros de actividad inusuales en el sistema relacionados con el SDK de Freemius.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin 'Animate Everything' que utilizan el SDK de Freemius hasta la versión 2.2.3, antes de la corrección en la versión 1.3.2.