Paytium: Mollie payment forms & donations <= 4.3.7 - Missing Authorization in 'create_mollie_profile'

Resumen ejecutivo

La vulnerabilidad identificada en el plugin Paytium, que gestiona formularios de pago y donaciones, permite la falta de autorización en la función 'create_mollie_profile'. Esta situación puede comprometer la seguridad de las transacciones y la información de los usuarios. Se recomienda actualizar a la versión 4.4 para mitigar el riesgo.

Contexto técnico

El fallo se origina por la ausencia de controles de autorización en el método 'create_mollie_profile'. Esto permite a un atacante potencial ejecutar acciones no autorizadas en el sistema, afectando la integridad de los datos de pago y la gestión de perfiles de usuario.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que podría permitir a un atacante crear perfiles de pago maliciosos o manipular donaciones, lo que afectaría la confianza de los usuarios en la plataforma y podría resultar en pérdidas económicas para el negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad mediante el envío de solicitudes maliciosas a la función vulnerable, lo que les permite eludir las medidas de seguridad y realizar operaciones no autorizadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Paytium a la versión 4.4 o superior. Además, es aconsejable revisar la configuración de permisos y aplicar medidas de seguridad adicionales para proteger la integridad de las transacciones.

Señales de detección

Señales de posible explotación incluyen registros de actividad inusual en la creación de perfiles de pago, así como intentos de acceso no autorizado a la función 'create_mollie_profile'.

Alcance afectado

Las versiones del plugin Paytium hasta la 4.3.7 son las afectadas por esta vulnerabilidad. Es crucial que los usuarios de estas versiones realicen la actualización correspondiente.