PlatiOnline Payments <= 7.0.0 - Missing Authorization (falta de autorizacion) - version 7.0.1

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin PlatiOnline Payments, que afecta a las versiones hasta la 7.0.0. Esta vulnerabilidad, clasificada con una severidad media, puede ser explotada para comprometer la seguridad de las transacciones.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados, lo que permite a usuarios no autenticados realizar acciones que deberían estar restringidas. La superficie de ataque incluye cualquier funcionalidad del plugin que requiera autorización para su uso.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante realizar transacciones no autorizadas, lo que podría resultar en pérdidas financieras y daños a la reputación del negocio afectado. Además, podría comprometer la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden intentar acceder a funciones del plugin que no requieren autenticación, aprovechando la falta de controles de acceso para ejecutar acciones maliciosas.

Mitigación recomendada

Se recomienda actualizar el plugin PlatiOnline Payments a la versión 7.0.1 o superior. Además, se sugiere revisar las configuraciones de seguridad y aplicar prácticas de hardening en la instalación de WordPress.

Señales de detección

Señales de riesgo pueden incluir intentos de acceso a funciones del plugin sin autenticación, así como registros de transacciones inusuales o no autorizadas.

Alcance afectado

Las versiones del plugin PlatiOnline Payments hasta la 7.0.0 están afectadas. La vulnerabilidad ha sido corregida en la versión 7.0.1.