Cost Calculator Builder <= 3.6.9 - Missing Authorization to Unauthenticated Payment Status Bypass

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Cost Calculator Builder, que afecta a las versiones hasta la 3.6.9. Esta falla permite a usuarios no autenticados eludir la verificación de estado de pago, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en un fallo en la lógica de autorización del plugin, permitiendo a los atacantes acceder a información sensible relacionada con el estado de los pagos sin necesidad de autenticación. Esto se debe a la falta de controles adecuados en las funciones que gestionan el estado de pago.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a los atacantes acceder a información de pago y posiblemente manipular transacciones, lo que podría resultar en pérdidas económicas y daño a la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes directas a las funciones del plugin que gestionan el estado de los pagos, sin necesidad de estar autenticados, lo que les permite eludir controles de acceso.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 3.6.10 o superior. Además, es aconsejable revisar las configuraciones de autorización y aplicar medidas de seguridad adicionales, como la implementación de autenticación de dos factores.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales a las funciones de estado de pago y solicitudes no autenticadas que intentan acceder a información sensible.

Alcance afectado

Las versiones del plugin Cost Calculator Builder hasta la 3.6.9 son las que se ven afectadas. Las instalaciones que utilizan estas versiones están en riesgo y deben ser actualizadas.