Vulnerabilidades en el complemento Buy Me a Coffee para WordPress

TEAM CSIRT

El complemento Buy Me a Coffee – Button and Widget Plugin de WordPress proporciona a los usuarios una forma para efectuar pagos de forma inmediata sin necesidad de abandonar tu sitio web, mientras que el botón o widget los redirige directamente a una página de BMC donde la comunidad de fans o seguidores de algún tipo puedan realizar pequeñas donaciones o gratificaciones por su trabajo.

Este producto se ha visto vulnerable a dos ataques que comprometen la seguridad del complemento y a los usuarios.

Detalle de vulnerabilidades

  • CVE-2023-2078 → Puntaje base CVSS: 7.3 (alta)

La falta de controles de capacidad en las funciones “recive_post”, “bmc_disconnect”, “name_post” y “widget_post”, expone al sistema a un ataque de tipo Missing Authorization” (posibles modificaciones no autorizadas de datos).

Esta vulnerabilidad permite que los atacantes autenticados con permisos mínimos, como los suscriptores, realicen actualizaciones en la configuración de los complementos.

  • CVE-2023-2079 → Puntaje base CVSS: 8.3 (alta)

La falta de validación de “nonce” (valor aleatorio que se combina con una cadena de datos) en las funciones “recive_post”, “bmc_disconnect”, “name_post” y “widget_post, deja expuesto al sitio a posibles ataques de “Cross-site request forgery”. Esto significa que los atacantes no autenticados podrían modificar la configuración de los complementos mediante solicitudes falsas.

Como resultado, un atacante podría engañar al administrador del sitio para que realice acciones no deseadas, como hacer clic en enlaces engañosos.                                                                                                                                                                                                                                                                                                           

Productos y Versiones afectadas

Buy Me a Coffee – Button and Widget Plugin en la versión 3.7 y anteriores.

Solución:

  • Actualizar el complemento a la versión 3.8 o posteriores.

Recomendación:

  • Se recomienda a los usuarios que actualicen a la última versión del producto para mitigar los riesgos potenciales.

Referencias:

Para más información sobre la vulnerabilidad descrita, consultar los siguientes enlaces:

  • https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/buymeacoffee/buy-me-a-coffee-button-and-widget-plugin-36-cross-site-request-forgery
  • https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/buymeacoffee/buy-me-a-coffee-button-and-widget-plugin-36-missing-authorization
  • https://www.cve.org/CVERecord?id=CVE-2023-2079
  • https://www.cve.org/CVERecord?id=CVE-2023-2078