Fuente base de datos: Wordfence Intelligence

Freemius SDK <= 2.4.2 - Missing Authorization Checks

PLUGIN MEDIUM CVE-2022-4974

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Quick PayPal Payments relacionada con el SDK de Freemius, que permite omitir controles de autorización. Esta falla, con un nivel de severidad medio, afecta a versiones anteriores a la 5.7.22 del plugin.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización en el SDK de Freemius hasta la versión 2.4.2. Esto permite que usuarios no autorizados puedan realizar acciones que deberían estar restringidas, comprometiendo la seguridad del sistema.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante acceda a funcionalidades restringidas del plugin, lo que podría resultar en la manipulación de datos financieros o en la ejecución de acciones no autorizadas, afectando la integridad y la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas al servidor que no son debidamente verificadas, lo que les permite eludir las restricciones de acceso establecidas por el plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Quick PayPal Payments a la versión 5.7.22 o superior. Además, se sugiere revisar y reforzar los controles de autorización en el uso del SDK de Freemius.

Señales de detección

Señales de riesgo incluyen registros de accesos no autorizados a funcionalidades del plugin y actividad inusual en las transacciones realizadas a través de PayPal.

Alcance afectado

Las versiones del plugin Quick PayPal Payments anteriores a la 5.7.22 son las que se encuentran afectadas por esta vulnerabilidad.