Mollie Payments for WooCommerce <= 8.0.2 - Unauthenticated Insecure Direct Object Reference

Resumen ejecutivo

Se ha identificado una vulnerabilidad de referencia a objetos inseguros no autenticados en el plugin Mollie Payments for WooCommerce, que afecta a versiones hasta la 8.0.2. Esta vulnerabilidad podría permitir a un atacante acceder a información sensible sin necesidad de autenticación.

Contexto técnico

El fallo se origina en la forma en que el plugin gestiona las solicitudes de objetos, permitiendo que usuarios no autenticados accedan a recursos que deberían estar protegidos. Esto se traduce en una referencia directa a objetos sin las comprobaciones adecuadas de permisos.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los datos de los usuarios y la integridad del sistema. Esto puede resultar en pérdidas económicas y daños a la reputación del negocio, especialmente en plataformas de comercio electrónico.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas que accedan a objetos restringidos, lo que les permite obtener información sensible sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar el plugin Mollie Payments for WooCommerce a la versión 8.0.3 o superior. Además, se recomienda realizar auditorías de seguridad periódicas y aplicar buenas prácticas de programación para prevenir vulnerabilidades similares.

Señales de detección

Señales de explotación incluyen registros de acceso inusuales a recursos restringidos y comportamientos anómalos en las solicitudes HTTP que intentan acceder a objetos sin autenticación.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 8.0.3 del plugin Mollie Payments for WooCommerce.