Vulnerabilidad en Happy Addons for Elementor de thehappymonster (CVE-2026-2917)

El plugin Happy Addons for Elementor para WordPress es vulnerable a Referencia Directa Insegura a Objeto en todas las versiones hasta la 3.21.0, inclusive, a través del gestor de acción de administración 'ha_duplicate_thing'. Esto se debe a que el método 'can_clone()' solo verifica 'current_user_can('edit_posts')' (una capacidad general) sin realizar una autorización a nivel de objeto como 'current_user_can('edit_post', $post_id)', y a que el nonce está vinculado al nombre de acción genérico 'ha_duplicate_thing' en lugar de a un ID de publicación específico. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, clonen cualquier publicación, página o tipo de publicación personalizada publicada obteniendo un nonce de clonación válido de sus propias publicaciones y cambiando el parámetro 'post_id' para apuntar al contenido de otros usuarios. La operación de clonación copia el contenido completo de la publicación, todos los metadatos de la publicación (incluidas configuraciones de widgets y tokens de API potencialmente sensibles) y taxonomías en un nuevo borrador propiedad del atacante.