Knit Pay – Cashfree, Instamojo, Razorpay, PayPal and more <= 9.4.0.0 - Missing Authorization (falta de autorizacion) - version 9.4.0.1

Resumen ejecutivo

El plugin Knit Pay presenta una vulnerabilidad de autorización faltante en versiones hasta la 9.4.0.0, lo que puede permitir a un atacante realizar acciones no autorizadas. Esta situación puede comprometer la seguridad de las transacciones y la integridad de los datos del usuario.

Contexto técnico

La vulnerabilidad se encuentra en el componente Knit Pay, que permite integrar múltiples métodos de pago. La falta de controles de autorización adecuados puede ser explotada a través de solicitudes maliciosas, afectando la superficie de ataque del plugin.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante realice transacciones no autorizadas, lo que podría resultar en pérdidas financieras y daños a la reputación del negocio. Además, la exposición de datos sensibles podría acarrear sanciones por incumplimiento de normativas de protección de datos.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la manipulación de solicitudes HTTP hacia el plugin, aprovechando la falta de verificación de permisos en las funciones críticas.

Mitigación recomendada

Actualizar el plugin Knit Pay a la versión 9.4.0.1 o superior para corregir la vulnerabilidad. Revisar y reforzar las configuraciones de autorización en el plugin y en el sistema general de WordPress. Monitorear las transacciones y registros de acceso para detectar actividades inusuales.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales, intentos de acceso a funciones restringidas sin la debida autorización y cambios en las configuraciones del plugin sin justificación.

Alcance afectado

Las versiones del plugin Knit Pay hasta la 9.4.0.0 están afectadas. No se han confirmado otros escenarios o plugins relacionados en este contexto.