FundPress <= 2.0.8 - Missing Authorization to Unauthenticated Arbitrary Donation Status Modification via donate_action_status AJAX Handler (falta de autorizacion) - version 2.0.9

Resumen ejecutivo

Se ha identificado una vulnerabilidad en FundPress hasta la versión 2.0.8 que permite a usuarios no autenticados modificar el estado de donaciones. Esta brecha de seguridad puede comprometer la integridad de los registros de donaciones y afectar la confianza de los usuarios.

Contexto técnico

La vulnerabilidad se encuentra en el manejador AJAX 'donate_action_status', que no requiere autenticación para realizar modificaciones en el estado de las donaciones. Esto permite a atacantes no autenticados manipular datos críticos.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante alterar registros de donaciones sin autorización, lo que puede resultar en pérdidas financieras y daño a la reputación de la organización.

Vector de explotación

La explotación se realiza enviando solicitudes AJAX maliciosas al manejador 'donate_action_status', permitiendo cambios no autorizados en los estados de donaciones.

Mitigación recomendada

Actualizar FundPress a la versión 2.0.9 o superior para cerrar la vulnerabilidad. Revisar y limitar el acceso a los manejadores AJAX críticos mediante autenticación adecuada. Implementar medidas de monitoreo para detectar accesos no autorizados.

Señales de detección

Monitorizar los logs de acceso para identificar solicitudes inusuales al manejador 'donate_action_status' que provengan de usuarios no autenticados.

Alcance afectado

Las versiones afectadas son FundPress hasta la 2.0.8. No se han confirmado otros escenarios de explotación.