Booking Calendar | Appointment Booking | Bookit <= 2.5.0 - Missing Authorization to Unauthenticated Stripe Connection

Resumen ejecutivo

Se ha identificado una vulnerabilidad de bypass de autorización en el plugin Bookit para WordPress, que afecta a versiones hasta la 2.5.0. Esta vulnerabilidad permite conexiones no autenticadas a Stripe, lo que representa un riesgo significativo para la seguridad de las transacciones.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados en el plugin Bookit, lo que permite a usuarios no autenticados realizar conexiones a la API de Stripe. Esto se traduce en una superficie de ataque que puede ser explotada por actores maliciosos para manipular transacciones o acceder a datos sensibles.

Impacto potencial

El impacto de esta vulnerabilidad puede ser grave, ya que permite a los atacantes realizar operaciones financieras sin autenticación previa. Esto no solo pone en riesgo la integridad de las transacciones, sino que también puede dañar la reputación del negocio y generar pérdidas económicas significativas.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes directas a la API de Stripe sin necesidad de autenticarse, lo que les permite ejecutar acciones no autorizadas relacionadas con las reservas y pagos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Bookit a la versión 2.5.1 o superior. Además, se sugiere revisar las configuraciones de seguridad de la API de Stripe y aplicar medidas de hardening en el entorno de WordPress.

Señales de detección

Las señales de riesgo incluyen registros de conexiones inusuales a la API de Stripe desde direcciones IP no reconocidas y la presencia de transacciones no autorizadas en los informes de actividad del plugin.

Alcance afectado

Las versiones del plugin Bookit hasta la 2.5.0 están afectadas por esta vulnerabilidad. Se recomienda a los usuarios de estas versiones que tomen medidas inmediatas.