Stripe Payment Forms by WP Full Pay – Accept Credit Card Payments, Donations & Subscriptions <= 8.4.1 - Missing Authorization en WP Full Stripe Free (falta de autorizacion) - version 8.4.2

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Stripe Payment Forms by WP Full Pay', específicamente en versiones hasta la 8.4.1, relacionada con la falta de autorización. Este fallo puede comprometer la seguridad de las transacciones, afectando la operativa del comercio electrónico.

Contexto técnico

El problema radica en la falta de verificación de autorización en el plugin, permitiendo que usuarios no autenticados realicen acciones que deberían estar restringidas. Esto se traduce en un vector de ataque que puede ser explotado a través de formularios de pago mal configurados.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en transacciones fraudulentas y acceso no autorizado a datos sensibles, lo que podría dañar la reputación del negocio y generar pérdidas económicas significativas.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a los formularios de pago, eludiendo los controles de autorización establecidos.

Mitigación recomendada

Actualizar el plugin 'WP Full Stripe Free' a la versión 8.4.2 o superior para corregir la vulnerabilidad. Revisar la configuración de seguridad del plugin para asegurar que se implementen controles de autorización adecuados. Realizar auditorías periódicas de seguridad en los formularios de pago para detectar configuraciones incorrectas.

Señales de detección

Monitorizar los logs de acceso para detectar patrones inusuales de solicitudes a los formularios de pago. También se deben revisar configuraciones de autorización en el plugin.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin hasta la 8.4.1. No se han reportado casos de explotación confirmados, pero el riesgo es significativo.