Masteriyo LMS <= 2.1.7 - Unauthenticated Authorization Bypass to Arbitrary Order Completion via Stripe Webhook Endpoint

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Masteriyo LMS, que afecta a las versiones hasta la 2.1.7. Este fallo permite completar pedidos arbitrarios sin autenticación, lo que puede comprometer la integridad de las transacciones realizadas a través del webhook de Stripe.

Contexto técnico

El fallo se produce en el endpoint de webhook de Stripe, donde un atacante puede eludir la autenticación, aprovechando la falta de validación adecuada. Esto expone el sistema a manipulaciones en el proceso de finalización de pedidos, lo que puede resultar en transacciones no autorizadas.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a pérdidas económicas significativas y a la desconfianza de los usuarios en la plataforma. Además, puede comprometer la seguridad de los datos de los clientes y la reputación del negocio.

Vector de explotación

La vulnerabilidad se puede explotar enviando solicitudes maliciosas al webhook de Stripe, permitiendo la finalización de pedidos sin la debida autenticación del usuario.

Mitigación recomendada

Actualizar el plugin Masteriyo LMS a la versión 2.1.8 o superior para corregir la vulnerabilidad. Revisar las configuraciones del webhook de Stripe para asegurar que solo se acepten solicitudes válidas. Implementar medidas de seguridad adicionales, como la validación de las solicitudes entrantes.

Señales de detección

Monitorear los logs de acceso para detectar patrones inusuales en las solicitudes al webhook de Stripe, así como cualquier intento de completar pedidos sin la debida autenticación.

Alcance afectado

Las versiones de Masteriyo LMS hasta la 2.1.7 están afectadas. No se han confirmado casos en versiones posteriores a la 2.1.8.