Cost Calculator Builder PRO <= 3.2.1 - Unauthenticated Price Manipulation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de manipulación de precios no autenticada en el plugin Cost Calculator Builder PRO, que afecta a las versiones hasta la 3.2.1. Esta vulnerabilidad permite a un atacante modificar precios sin necesidad de autenticación, lo que representa un riesgo medio para la seguridad del sitio.

Contexto técnico

El fallo se origina en una falta de validación adecuada de las solicitudes relacionadas con la manipulación de precios en el plugin. Esto permite que un atacante envíe peticiones maliciosas que alteren los precios mostrados a los usuarios, lo que puede llevar a pérdidas económicas.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que un atacante manipule precios, lo que podría resultar en pérdidas financieras significativas para el negocio. Además, la reputación del sitio puede verse afectada si los usuarios perciben precios incorrectos.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que alteran los datos de precios sin necesidad de autenticarse, aprovechando la falta de controles de seguridad en el plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Cost Calculator Builder PRO a la versión 3.2.2 o superior. Además, se sugiere implementar controles adicionales de validación en las solicitudes para evitar manipulaciones no autorizadas.

Señales de detección

Señales de riesgo incluyen cambios inesperados en los precios mostrados en el sitio y un aumento en las solicitudes no autenticadas a las funciones de manipulación de precios del plugin.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Cost Calculator Builder PRO hasta la 3.2.1. La versión 3.2.2 ya incluye la corrección de esta vulnerabilidad.