PayPlus Payment Gateway <= 6.6.8 - Unauthenticated SQL Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin PayPlus Payment Gateway, afectando a las versiones hasta la 6.6.8. Esta falla permite a los atacantes no autenticados ejecutar consultas SQL maliciosas, comprometiendo la base de datos del sitio.

Contexto técnico

La vulnerabilidad se clasifica como inyección SQL (SQLi), lo que significa que permite la manipulación de consultas SQL mediante la entrada de datos no controlada. Esto se puede aprovechar a través de formularios o parámetros URL que no validan adecuadamente las entradas del usuario.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la exposición de datos sensibles, alteración de la base de datos y potenciales daños a la reputación del negocio. Dada su severidad crítica y un CVSS de 10.0, el riesgo es considerable para cualquier instalación afectada.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a través de formularios o parámetros de URL que interactúan con el plugin, sin necesidad de autenticación previa.

Mitigación recomendada

Se recomienda actualizar el plugin PayPlus Payment Gateway a la versión 6.6.9 o superior. Además, se sugiere implementar medidas de validación de entradas y utilizar consultas preparadas para mitigar riesgos de inyección SQL.

Señales de detección

Señales de posible explotación incluyen registros de errores en la base de datos, solicitudes inusuales en los logs de acceso y patrones de tráfico que intentan manipular parámetros SQL.

Alcance afectado

Las versiones del plugin PayPlus Payment Gateway desde su lanzamiento hasta la 6.6.8 están afectadas. La versión 6.6.9 corrige esta vulnerabilidad.