Vysoko závažná zraniteľnosť v plugine WordPress WPForms

Vývojári WordPress pluginu WPForms vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2024-11205 možno vykonaním neoprávnených zmien v systéme zneužiť vrátenie platieb alebo zrušenie predplatného implementovaného prostredníctvom služby Stripe a spôsobiť tak finančné škody prevádzkovateľom zraniteľných webových stránok.

Zraniteľné systémy:

• WordPress plugin WPForms vo verziách 1.8.4 až 1.9.2.1

Opis zraniteľnosti:

CVE-2024-11205 (CVSS skóre 8,5)

Vysoko závažná zraniteľnosť spočíva v chýbajúcej autorizácii vo funkcii wpforms_is_admin_ajax(), ktorá slúži na identifikáciu administrátorských AJAX volaní. V rámci triedy SingleActionsHandler zodpovednej za spracovanie platobných operácií prostredníctvom služby Stripe je táto funkcia používaná na sprístupnenie administrátorských funkcií ajax_single_payment_refund() a ajax_single_payment_cancel(). Vzdialený autentifikovaný útočník s oprávneniami úrovne Subscriber alebo vyššími by zraniteľnosť mohol zneužiť na vrátenie platieb alebo zrušenie predplatného a spôsobiť tak finančné škody prevádzkovateľom zraniteľných webových stránok.

Zraniteľnosť v rámci Wordfence Bug Bounty programu odhalil bezpečnostný výskumník vystupujúci pod aliasom villu164.

Možné škody:

• Neoprávnená zmena v systéme

Odporúčania:

Bezodkladná aktualizácia zásuvného modulu WPForms na verziu 1.9.2.2.

Zdroje:

• https://www.wordfence.com/blog/2024/12/6000000-wordpress-sites-protected-against-payment-refund-and-subscription-cancellation-vulnerability-in-wpforms-wordpress-plugin/
• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wpforms-lite/wpforms-184-1921-missing-authorization-to-authenticated-subscriber-payment-refund-and-subscription-cancellation
• https://www.cve.org/CVERecord?id=CVE-2024-11205