Paytium: Mollie payment forms & donations <= 4.3.7 - Missing Authorization in 'update_profile_preference'

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Paytium, utilizado para formularios de pago y donaciones, que afecta a las versiones hasta la 4.3.7. Esta vulnerabilidad puede permitir a usuarios no autorizados realizar acciones no permitidas en el sistema.

Contexto técnico

La vulnerabilidad se encuentra en la función 'update_profile_preference' del plugin Paytium, donde la falta de controles de autorización adecuados permite que usuarios no autenticados modifiquen preferencias de perfil. Esto expone la superficie de ataque a acciones no deseadas en la gestión de perfiles de usuario.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes potenciales realizar cambios en la configuración de perfiles de usuario, lo que podría comprometer la integridad de los datos y la confianza de los usuarios en la plataforma de pago.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la función afectada, lo que les permite modificar preferencias de usuario sin la debida autorización. Esto generalmente se realiza mediante la manipulación de solicitudes HTTP.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Paytium a la versión 4.4 o superior. Además, se sugiere revisar las configuraciones de seguridad y aplicar controles de acceso adecuados a las funciones críticas del plugin.

Señales de detección

Señales de riesgo incluyen registros de accesos no autorizados a la función 'update_profile_preference' y cambios inesperados en las preferencias de usuario. Monitorizar los logs de acceso puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones del plugin Paytium hasta la 4.3.7 están afectadas. Es crucial que los usuarios de este plugin verifiquen su versión y actualicen si es necesario.