Paytium: Mollie payment forms & donations <= 4.3.7 - Missing Authorization in 'create_mollie_account'

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Paytium para WordPress, que afecta a las versiones hasta la 4.3.7. Esta falla permite la falta de autorización en la función 'create_mollie_account', lo que podría comprometer la seguridad de las cuentas de usuario.

Contexto técnico

La vulnerabilidad radica en la ausencia de controles de autorización en la función 'create_mollie_account', lo que permite a usuarios no autorizados realizar acciones que deberían estar restringidas. Esto expone a los sitios a ataques donde se pueden crear cuentas Mollie sin las debidas validaciones.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a un atacante potencial crear cuentas de pago no autorizadas, lo que podría resultar en pérdidas financieras y daños a la reputación del negocio. Además, la falta de seguridad puede llevar a la exposición de datos sensibles de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la función afectada, lo que les permite eludir las restricciones de acceso y crear cuentas de forma no autorizada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Paytium a la versión 4.4 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar prácticas de hardening en WordPress para protegerse contra accesos no autorizados.

Señales de detección

Señales de posible explotación incluyen la aparición de cuentas Mollie no autorizadas en el sistema y registros de actividad inusual en la función 'create_mollie_account'.

Alcance afectado

Las versiones del plugin Paytium hasta la 4.3.7 están afectadas. Es crucial que los administradores de sitios que utilizan este plugin verifiquen su versión y apliquen las actualizaciones necesarias.