CVE-2023-7048: CSRF para exportar leads de contacto en My Sticky Bar
Un problema de CSRF en My Sticky Bar que podía disparar la exportación CSV de leads desde el navegador de un administrador.
CVE-2023-7048 es una vulnerabilidad de cross-site request forgery en el plugin My Sticky Bar para WordPress.
El aviso público dice que las versiones hasta 2.6.6 inclusive eran vulnerables por validación de nonce faltante o incorrecta en mystickymenu-contact-leads.php. Una solicitud falsificada podía disparar la exportación CSV de leads de contacto si un atacante convencía a un administrador del sitio de realizar una acción, como hacer clic en un enlace.
El bug
Los bugs de CSRF son fáciles de subestimar porque normalmente no se ven dramáticos por sí solos. El problema no es que el atacante tenga acceso directo a la acción administrativa. El problema es que el navegador de un administrador autenticado puede ser empujado a hacer la solicitud.
En este caso, la acción podía exportar leads de contacto a un archivo CSV. Wordfence señala que el CSV se escribía en una ubicación pública durante una ventana corta antes de que la función de exportación lo eliminara automáticamente.
Por qué importaba
Esta era una vulnerabilidad de severidad baja, pero los datos involucrados seguían importando. Los leads de contacto pueden contener nombres, direcciones de email, números de teléfono y contenido de mensajes según cómo el dueño del sitio haya configurado el plugin.
La parte interesante del hallazgo era el comportamiento de timing y almacenamiento. La exportación no necesitaba quedar pública para siempre para ser sensible. Un artefacto público de corta vida sigue siendo una exposición si un atacante puede causar que exista y descargarlo lo suficientemente rápido.
Fix
My Sticky Bar corrigió el problema en la versión 2.6.7. Los dueños de sitios deberían actualizar a 2.6.7 o una versión más nueva.