Gestpay for WooCommerce <= 20221130 - Cross-Site Request Forgery (CSRF) via ajax_delete_card

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Gestpay for WooCommerce, que podría permitir a un atacante realizar acciones no autorizadas en nombre de un usuario. Esta vulnerabilidad afecta a versiones hasta la 20221130 y tiene una severidad media con un puntaje CVSS de 4.3.

Contexto técnico

El fallo se origina en la falta de validación adecuada de las solicitudes AJAX para la eliminación de tarjetas. Esto permite que un atacante, al engañar a un usuario autenticado, pueda ejecutar acciones no deseadas en su cuenta sin su consentimiento.

Impacto potencial

La explotación de esta vulnerabilidad podría comprometer la integridad de las cuentas de los usuarios, permitiendo a un atacante eliminar tarjetas de pago y, potencialmente, acceder a información sensible. Esto puede resultar en pérdidas financieras y dañar la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a través de formularios o enlaces engañosos que un usuario autenticado podría clicar, sin que este sea consciente de la acción que se está realizando.

Mitigación recomendada

Actualizar el plugin Gestpay for WooCommerce a la versión 20240307 o posterior. Además, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes AJAX.

Señales de detección

Se deben monitorizar registros de actividad inusuales en las cuentas de usuarios, así como solicitudes AJAX que no contengan los tokens de seguridad esperados.

Alcance afectado

Las versiones del plugin Gestpay for WooCommerce hasta la 20221130 son las afectadas. Se recomienda a los usuarios que verifiquen sus instalaciones para asegurar que no están utilizando versiones vulnerables.