IDonate 2.1.5 - 2.1.9 - Missing Authorization to Authenticated (Subscriber+) Account Takeover/Privilege Escalation via idonate_donor_password Function

Resumen ejecutivo

La vulnerabilidad identificada en el plugin IDonate, que afecta a las versiones 2.1.5 a 2.1.9, permite la escalación de privilegios para usuarios autenticados, lo que podría resultar en la toma de control de cuentas. Esta falla, catalogada con una severidad alta y un CVSS de 8.8, fue publicada el 6 de noviembre de 2025.

Contexto técnico

El fallo se origina en la función idonate_donor_password, que carece de controles adecuados de autorización. Esto permite que usuarios con privilegios de suscriptor o superiores accedan a funciones restringidas, facilitando la escalación de privilegios sin la debida autorización.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de las cuentas de usuario, permitiendo a atacantes acceder a información sensible o realizar acciones no autorizadas en el sitio. Esto podría resultar en daños a la reputación del negocio y pérdidas económicas significativas.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad accediendo a la función afectada mediante solicitudes maliciosas, lo que les permite escalar sus privilegios y tomar control de cuentas de otros usuarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin IDonate a la versión 2.1.10 o superior. Además, es aconsejable revisar y reforzar las políticas de autorización en todas las funciones críticas del plugin.

Señales de detección

Se deben monitorizar los registros de acceso y las actividades inusuales de los usuarios, especialmente aquellos con roles de suscriptor o superiores, como señales de posible explotación de esta vulnerabilidad.

Alcance afectado

Las versiones afectadas son IDonate 2.1.5 a 2.1.9. Se recomienda a todos los usuarios de estas versiones que realicen la actualización inmediata para evitar riesgos.