Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder <= 6.1.21 - Insecure Direct Object Reference in Stripe SCA Confirmation to Unauthenticated Payment Status Modification

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Fluent Forms que permite la modificación no autorizada del estado de pago en Stripe. Esta falla, clasificada como un bypass de autenticación, puede comprometer la integridad de las transacciones en sitios web que utilicen este componente.

Contexto técnico

El fallo se origina en una referencia directa a objetos insegura en la confirmación de SCA de Stripe, afectando a las versiones del plugin hasta la 6.1.21. La exposición se produce cuando usuarios no autenticados intentan modificar el estado de pago, lo que puede dar lugar a fraudes.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en pérdidas económicas significativas y en la pérdida de confianza de los clientes. Además, puede comprometer la seguridad del entorno de comercio electrónico del negocio, afectando su reputación.

Vector de explotación

La vulnerabilidad puede ser explotada mediante solicitudes maliciosas que manipulan parámetros en la confirmación de pagos, permitiendo a un atacante no autenticado alterar el estado de las transacciones.

Mitigación recomendada

Actualizar el plugin Fluent Forms a la versión 6.2.0 o superior. Revisar las configuraciones de seguridad y acceso a las funciones de pago. Implementar medidas de monitoreo para detectar accesos no autorizados.

Señales de detección

Buscar logs que indiquen intentos de modificación de estados de pago por usuarios no autenticados. Revisar configuraciones del plugin para detectar posibles configuraciones inseguras.

Alcance afectado

Las versiones del plugin Fluent Forms hasta la 6.1.21 están afectadas. No se ha confirmado el impacto en versiones posteriores a la 6.2.0.