Frisbii Pay <= 1.8.9 - Missing Authorization to Authenticated (Subscriber+) Payment Token Modification en Reepay Checkout Gateway (falta de autorizacion) - version 1.8.10

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Frisbii Pay (versiones <= 1.8.9) que permite a usuarios autenticados (nivel Subscriber+) modificar tokens de pago sin la autorización adecuada. Esto puede comprometer la seguridad de las transacciones y la integridad de los datos financieros.

Contexto técnico

El fallo se origina en la falta de autorización para la modificación de tokens de pago, lo que permite que usuarios con permisos limitados puedan realizar cambios no autorizados. La superficie de ataque se centra en las funciones de gestión de pagos del plugin, accesibles a través del panel de usuario.

Impacto potencial

El impacto potencial incluye la posibilidad de que usuarios malintencionados alteren información crítica de pagos, lo que podría resultar en transacciones fraudulentas y pérdida de confianza de los clientes. Además, puede acarrear repercusiones legales y financieras para el negocio.

Vector de explotación

La explotación de esta vulnerabilidad suele llevarse a cabo mediante el acceso a la interfaz del plugin por parte de un usuario autenticado que intenta modificar los tokens de pago sin las debidas autorizaciones.

Mitigación recomendada

Actualizar el plugin Frisbii Pay a la versión 1.8.10 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y roles asignados en la configuración del plugin para limitar el acceso a funciones críticas. Realizar auditorías periódicas de seguridad para identificar posibles configuraciones inadecuadas.

Señales de detección

Monitorizar los registros de actividad del plugin en busca de intentos de modificación de tokens de pago por usuarios con permisos de Subscriber+ o inferiores.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Frisbii Pay hasta la 1.8.9. La versión 1.8.10 y posteriores no presentan esta vulnerabilidad.