WPForms hibája Stripe visszatérítéseket tesz lehetővé milliók számára

kami911 képe
Beküldte kami911 -

Egy súlyos sérülékenységre derült fény a WPForms WordPress-bővítményben, amelyet több mint 6 millió weboldalon használnak. A probléma lehetővé teszi, hogy még alacsony szintű felhasználók is önkényesen kezdeményezzenek Stripe visszatérítéseket vagy lemondják előfizetéseket.

A sérülékenység részletei

  • CVE-2024-11205 azonosító alatt követett probléma.
  • Magas súlyossági besorolás, mivel hitelesítés szükséges a kihasználáshoz. Azonban a legtöbb weboldalon működő tagsági rendszerek miatt a sérülékenység kihasználása meglehetősen egyszerű lehet.
  • A hiba az 1.8.4 és 1.9.2.1 közötti verziókat érinti. A problémát a 1.9.2.2-es verzió javította, amelyet múlt hónapban adtak ki.

A WPForms egy népszerű, egyszerűen használható WordPress űrlapkészítő bővítmény, amely támogatja a Stripe, PayPal, Square és más fizetési rendszereket. Mind prémium (WPForms Pro), mind ingyenes (WPForms Lite) verzióban elérhető, utóbbi több mint 6 millió weboldalon aktív.

A sérülékenység oka

A probléma abból ered, hogy a fejlesztők helytelenül használták a wpforms_is_admin_ajax() függvényt az adminisztrációs AJAX-hívások meghatározására. Ez a függvény ugyan ellenőrzi, hogy a kérés adminisztrációs útvonalról származik-e, de nem végez jogosultságellenőrzést, így alacsony szintű felhasználók is hozzáférhetnek érzékeny AJAX-függvényekhez, például:

  • ajax_single_payment_refund() – Stripe visszatérítések kezdeményezése
  • ajax_single_payment_cancel() – előfizetések törlése

A sérülékenység következményei

A hiba kihasználása súlyos következményekkel járhat a weboldal-tulajdonosok számára, például:

  • Bevételkiesés
  • Üzleti működés zavara
  • Ügyfelek bizalmának elvesztése

Javítás és ajánlások

A sérülékenységet a vullu164 nevű biztonsági kutató fedezte fel, aki jelentette azt a Wordfence hibavadász programjának, és 2 376 dolláros jutalmat kapott érte. A Wordfence megerősítette a hibát, és november 14-én értesítette az Awesome Motive fejlesztőcsapatot, amely november 18-án kiadta az 1.9.2.2-es verziót. Ez a verzió megfelelő jogosultság-ellenőrzést és hitelesítési mechanizmusokat vezetett be az érintett AJAX-függvényekben.

A WordPress statisztikák szerint a WPForms-t használó oldalak körülbelül fele nem a legfrissebb verziót futtatja, így a sérülékeny webhelyek száma legalább 3 millióra tehető.

Javaslatok felhasználóknak

  • Frissítse a WPForms bővítményt az 1.9.2.2-es verzióra azonnal.
  • Amennyiben nem lehetséges a frissítés, ideiglenesen inaktiválja a bővítményt az oldalon.

A biztonsági javítás részleteiről további információt a Wordfence vagy a hivatalos WPForms weboldalán talál.

(forrás)