Easy PayPal & Stripe Buy Now Button <= 1.8.3 & Contact Form 7 – PayPal & Stripe Add-on <= 2.1 - Cross-Site Request Forgery to Settings Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el complemento Easy PayPal & Stripe Buy Now Button y en el complemento Contact Form 7 – PayPal & Stripe Add-on. Esta falla permite a un atacante malicioso realizar cambios en la configuración del plugin afectado.

Contexto técnico

La vulnerabilidad se origina en la falta de validación adecuada de las solicitudes que modifican la configuración del plugin. Esto permite que un atacante envíe solicitudes fraudulentas desde un sitio web externo, afectando así la integridad de la configuración del plugin sin el consentimiento del usuario.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que podría permitir a un atacante modificar la configuración de los métodos de pago, lo que podría llevar a pérdidas económicas y a la desconfianza de los usuarios en la seguridad del sitio web.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando un enlace malicioso a un usuario autenticado, lo que les permite ejecutar acciones no autorizadas en el plugin sin que el usuario lo sepa.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.2 o superior. Además, se sugiere implementar medidas de seguridad adicionales como la verificación de tokens CSRF en las solicitudes de cambio de configuración.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración del plugin y la aparición de registros de actividad sospechosa en el sistema que indiquen solicitudes no autorizadas.

Alcance afectado

Las versiones afectadas son Easy PayPal & Stripe Buy Now Button hasta la 1.8.3 y Contact Form 7 – PayPal & Stripe Add-on hasta la 2.1. Las instalaciones que utilizan estas versiones son vulnerables.