Paid Memberships Pro <= 3.6.5 - Missing Authorization to Authenticated (Subscriber+) Stripe Webhook Deletion and Payment Processing Disruption (falta de autorizacion) - version 3.6.6

Resumen ejecutivo

La versión 3.6.5 del plugin Paid Memberships Pro presenta una vulnerabilidad crítica que permite la eliminación no autorizada de webhooks y puede interrumpir el procesamiento de pagos. Esto puede afectar gravemente la operativa de los sitios que dependen de este plugin para gestionar suscripciones.

Contexto técnico

El fallo se origina en la falta de autorización para la eliminación de webhooks relacionados con Stripe, lo que permite a usuarios autenticados con rol de suscriptor o superior ejecutar acciones no permitidas. Esta debilidad se manifiesta a través de las interfaces de gestión del plugin.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la pérdida de ingresos por interrupciones en el procesamiento de pagos, así como en la gestión inadecuada de las suscripciones. Esto puede comprometer la confianza de los usuarios y afectar la reputación del negocio.

Vector de explotación

Un atacante con acceso autenticado podría enviar solicitudes maliciosas para eliminar webhooks sin la debida autorización, afectando la funcionalidad del plugin.

Mitigación recomendada

Actualizar el plugin Paid Memberships Pro a la versión 3.6.6 o superior. Revisar los permisos de usuario y asegurarse de que solo los roles adecuados tengan acceso a funciones críticas. Monitorear los registros de acceso y actividad del plugin para detectar acciones inusuales.

Señales de detección

Señales de alerta incluyen registros de eliminación de webhooks por usuarios no autorizados o cambios inesperados en la configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las versiones de Paid Memberships Pro hasta la 3.6.5. La versión 3.6.6 corrige esta vulnerabilidad.