SureForms – Drag and Drop Form Builder for WordPress <= 2.2.1 - Unauthenticated Stripe Payment Amount Manipulation

Resumen ejecutivo

Se ha detectado una vulnerabilidad de alta gravedad en el plugin SureForms, que permite la manipulación no autenticada de los montos de pago de Stripe en versiones hasta la 2.2.1. Esta falta de autenticación puede ser explotada por atacantes para modificar cantidades de pago sin autorización.

Contexto técnico

El fallo se origina en un bypass de autenticación que afecta a la funcionalidad de procesamiento de pagos del plugin SureForms. Esto permite a usuarios no autenticados manipular los montos que se envían a Stripe, lo que representa un riesgo significativo para la integridad de las transacciones.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en pérdidas financieras significativas y en una posible pérdida de confianza por parte de los usuarios. Además, puede afectar la reputación del negocio al comprometer la seguridad de los pagos.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes manipuladas a la API del plugin, lo que les permite alterar los montos de pago sin necesidad de autenticación previa.

Mitigación recomendada

Actualizar el plugin SureForms a la versión 2.2.2 o superior, donde se ha corregido esta vulnerabilidad. Además, se recomienda revisar las configuraciones de seguridad y autenticación del sitio web para prevenir futuros incidentes.

Señales de detección

Señales de riesgo incluyen transacciones inusuales o montos de pago que no coinciden con los esperados. Monitorizar los registros de actividad del plugin puede ayudar a identificar intentos de explotación.

Alcance afectado

Las versiones del plugin SureForms hasta la 2.2.1 son vulnerables, por lo que todas las instalaciones que utilicen estas versiones deben ser consideradas en riesgo.