MStore API <= 3.9.6 - Cross-Site Request Forgery to Order Status Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin MStore API, versiones hasta 3.9.6, que permite la actualización del estado de pedidos de forma no autorizada. Esta vulnerabilidad tiene una severidad media con un CVSS de 4.3.

Contexto técnico

El fallo se produce debido a la falta de validación adecuada en las solicitudes de actualización del estado de los pedidos, lo que permite a un atacante enviar peticiones maliciosas desde un sitio externo. Esto afecta a la funcionalidad del plugin, permitiendo la manipulación no autorizada de datos.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad de los pedidos en el sistema, lo que podría llevar a pérdidas económicas y a la desconfianza de los clientes. Además, puede afectar la reputación del negocio si se producen cambios no deseados en los pedidos.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a través de formularios o enlaces engañosos que el usuario podría activar sin darse cuenta, afectando así el estado de los pedidos en el sistema.

Mitigación recomendada

Actualizar el plugin MStore API a la versión 3.9.7 o superior para cerrar esta vulnerabilidad. Además, se recomienda implementar medidas adicionales de seguridad como la verificación de tokens CSRF en las solicitudes y realizar auditorías regulares de seguridad.

Señales de detección

Señales de riesgo incluyen cambios inesperados en el estado de los pedidos, así como registros de actividad inusual en el sistema que indiquen intentos de modificación no autorizada.

Alcance afectado

Las versiones del plugin MStore API hasta la 3.9.6 están afectadas. Se recomienda a los usuarios que verifiquen la versión instalada para asegurar que están protegidos.