Uma vulnerabilidade no WPForms, um plugin do WordPress usado em mais de 6 milhões de sites, pode permitir que usuários com nível de inscrição emitam reembolsos arbitrários pelo Stripe ou cancelem assinaturas.
Rastreada sob o identificador
CVE-2024-11205
, a falha foi classificada como um problema de alta gravidade devido ao pré-requisito de autenticação.
No entanto, dado que sistemas de associação estão disponíveis na maioria dos sites, a exploração pode ser relativamente fácil na maioria dos casos.
O problema afeta o WPForms a partir da versão 1.8.4 até a 1.9.2.1, com um patch aplicado na versão 1.9.2.2, lançada no mês passado.
O WPForms é um construtor de formulários para WordPress fácil de usar, do tipo arrasta e solta, para a criação de formulários de contato, feedback, inscrição e pagamento, oferecendo suporte para Stripe, PayPal, Square, entre outros.
O plugin está disponível tanto em uma versão premium (WPForms Pro) quanto gratuita (WPForms Lite).
Esta última está ativa em mais de seis milhões de sites WordPress.
A vulnerabilidade origina-se do uso inadequado da função 'wpforms_is_admin_ajax()' para determinar se uma requisição é uma chamada AJAX de administração.
Embora essa função verifique se a requisição provém de um caminho de administração, ela não executa verificações de capacidade para restringir o acesso com base no papel ou nas permissões do usuário.
Isso permite que qualquer usuário autenticado, até mesmo inscritos, invoque funções AJAX sensíveis como 'ajax_single_payment_refund()', que executa reembolsos pelo Stripe, e 'ajax_single_payment_cancel()', que cancela assinaturas.
As consequências da exploração do
CVE-2024-11205
poderiam ser severas para os proprietários de sites, levando a perda de receita, interrupção dos negócios e problemas de confiança com sua base de clientes.
A falha foi descoberta pelo pesquisador de segurança 'vullu164', que a reportou ao programa de recompensas por bugs da Wordfence em troca de um pagamento de $2.376 no dia 8 de novembro de 2024.
A Wordfence subsequentemente validou o relatório e confirmou o exploit fornecido, enviando os detalhes completos ao fornecedor, Awesome Motive, em 14 de novembro.
Até 18 de novembro, a Awesome Motive lançou a versão corrigida 1.9.2.2, adicionando verificações de capacidade apropriadas e mecanismos de autorização nas funções AJAX afetadas.
De acordo com as estatísticas do wordpress.org, aproximadamente metade de todos os sites usando o WPForms nem mesmo estão na última versão (1.9.x), então o número de sites vulneráveis é de pelo menos 3 milhões.
A Wordfence ainda não detectou exploração ativa do
CVE-2024-11205
, mas recomenda-se atualizar para a versão 1.9.2.2 o quanto antes ou desabilitar o plugin do seu site.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...