Checkout Gateway for IRIS <= 1.3 - Missing Authorization

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Checkout Gateway for IRIS, que afecta a las versiones anteriores a la 1.4. Esta vulnerabilidad presenta un nivel de severidad medio, con un CVSS de 5.3.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados, lo que permite a usuarios no autenticados realizar acciones que deberían estar restringidas. Esto amplía la superficie de ataque, ya que cualquier visitante podría intentar aprovechar esta debilidad.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante realizar transacciones no autorizadas, comprometiendo la integridad financiera del negocio y la confianza del cliente. Además, puede llevar a una pérdida de datos sensibles.

Vector de explotación

Los atacantes pueden intentar acceder a funciones restringidas del plugin sin la debida autorización, utilizando métodos como la manipulación de solicitudes HTTP para eludir las restricciones.

Mitigación recomendada

Se recomienda actualizar el plugin Checkout Gateway for IRIS a la versión 1.4 o superior. Además, se debe revisar la configuración de permisos y aplicar prácticas de hardening en la gestión de usuarios y roles.

Señales de detección

Señales de riesgo incluyen intentos de acceso no autorizado a funciones del plugin, así como registros de eventos inusuales en las transacciones realizadas a través del sistema de pago.

Alcance afectado

La vulnerabilidad afecta a todas las instalaciones que utilicen el plugin Checkout Gateway for IRIS en versiones iguales o anteriores a la 1.3.