Event Manager, Events Calendar, Tickets, Registrations – Eventin <= 4.0.24 - Missing Authorization to Unauthenticated Payment Status Update

Resumen ejecutivo

Se ha identificado una vulnerabilidad de omisión de autorización en el plugin Event Manager, Events Calendar, Tickets, Registrations – Eventin, que afecta a las versiones hasta la 4.0.24. Esta vulnerabilidad permite a usuarios no autenticados actualizar el estado de pago, lo que puede comprometer la integridad del sistema.

Contexto técnico

La falla se origina en la falta de controles de autorización adecuados en el proceso de actualización del estado de pago. Esto permite que cualquier usuario, sin necesidad de autenticación, realice cambios en la información sensible relacionada con los pagos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a atacantes no autenticados manipular estados de pago, lo que podría llevar a fraudes o pérdidas económicas. Además, puede afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la API del plugin para cambiar el estado de los pagos sin estar autenticados, lo que les permite eludir los controles de acceso.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 4.0.25 o superior, donde se ha corregido la vulnerabilidad. Además, es aconsejable revisar las configuraciones de seguridad y aplicar medidas de hardening adicionales en el sitio.

Señales de detección

Señales de posible explotación incluyen cambios inusuales en los estados de pago, acceso a la API desde direcciones IP no reconocidas, y registros de actividad sospechosa en el sistema.

Alcance afectado

Las versiones del plugin Eventin hasta la 4.0.24 son las que se ven afectadas por esta vulnerabilidad. Se debe verificar la versión instalada en cada sitio que utilice este plugin.