Το σφάλμα WPForms επιτρέπει επιστροφές χρημάτων Stripe σε εκατομμύρια ιστότοπους WordPress

Μια ευπάθεια στο WPForms, μια προσθήκη WordPress που χρησιμοποιείται σε πάνω από 6 εκατομμύρια ιστότοπους, θα μπορούσε να επιτρέψει στους χρήστες σε επίπεδο συνδρομητών να εκδίδουν αυθαίρετες επιστροφές χρημάτων Stripe ή να ακυρώσουν συνδρομές.

Παρακολούθηση σύμφωνα με το CVE-2024-11205, το ελάττωμα κατηγοριοποιήθηκε ως πρόβλημα υψηλής σοβαρότητας λόγω της προϋπόθεσης ελέγχου ταυτότητας. Ωστόσο, δεδομένου ότι τα συστήματα μελών είναι διαθέσιμα στους περισσότερους ιστότοπους, η εκμετάλλευση μπορεί να είναι αρκετά εύκολη στις περισσότερες περιπτώσεις.

Το ζήτημα επηρεάζει τα WPForms από την έκδοση 1.8.4 και έως την 1.9.2.1, με μια ενημερωμένη έκδοση κώδικα που προωθήθηκε στην έκδοση 1.9.2.2, που κυκλοφόρησε τον περασμένο μήνα.

Το WPForms είναι ένα εύκολο στη χρήση εργαλείο δημιουργίας φορμών WordPress με μεταφορά και απόθεση για τη δημιουργία φορμών επαφής, σχολίων, συνδρομής και πληρωμής, προσφέροντας υποστήριξη για Stripe, PayPal, Square και άλλα.

Το πρόσθετο είναι διαθέσιμο τόσο σε έκδοση premium (WPForms Pro) όσο και σε δωρεάν (WPForms Lite) έκδοση. Το τελευταίο είναι ενεργό σε πάνω από έξι εκατομμύρια ιστότοπους WordPress.

Η ευπάθεια προέρχεται από την ακατάλληλη χρήση της συνάρτησης ‘wpforms_is_admin_ajax()’ για να προσδιοριστεί εάν ένα αίτημα είναι μια κλήση AJAX διαχειριστή.

Ενώ αυτή η συνάρτηση ελέγχει εάν το αίτημα προέρχεται από μια διαδρομή διαχειριστή, δεν επιβάλλει ελέγχους δυνατοτήτων για περιορισμό της πρόσβασης βάσει του ρόλου ή των δικαιωμάτων του χρήστη.

Αυτό επιτρέπει σε οποιονδήποτε πιστοποιημένο χρήστη, ακόμη και σε συνδρομητές, να επικαλείται ευαίσθητες λειτουργίες AJAX όπως το ‘ajax_single_payment_refund(),’ που εκτελεί επιστροφές χρημάτων Stripe και το ‘ajax_single_payment_cancel(),’ που ακυρώνει τις συνδρομές.

Οι συνέπειες των CVE-2024-11205 Η εκμετάλλευση μπορεί να είναι σοβαρή για τους ιδιοκτήτες ιστοτόπων, οδηγώντας σε απώλεια εσόδων, διακοπή της επιχείρησης και ζητήματα εμπιστοσύνης με την πελατειακή τους βάση.

Διατίθεται επιδιόρθωση

Το ελάττωμα ανακαλύφθηκε από τον ερευνητή ασφαλείας «vullu164», ο οποίος το ανέφερε WordfenceΠρόγραμμα επιβράβευσης σφαλμάτων για πληρωμή 2.376 $ στις 8 Νοεμβρίου 2024.

Στη συνέχεια, το Wordfence επικύρωσε την αναφορά και επιβεβαίωσε την παρεχόμενη εκμετάλλευση, στέλνοντας τα πλήρη στοιχεία στον προμηθευτή, Awesome Motive, στις 14 Νοεμβρίου.

Μέχρι τις 18 Νοεμβρίου, το Awesome Motive κυκλοφόρησε τη σταθερή έκδοση 1.9.2.2, προσθέτοντας κατάλληλους ελέγχους δυνατοτήτων και μηχανισμούς εξουσιοδότησης στις επηρεαζόμενες λειτουργίες AJAX.

Σύμφωνα με το wordpress.org στατιστικάπερίπου οι μισοί ιστότοποι που χρησιμοποιούν WPForms δεν βρίσκονται καν στον κλάδο τελευταίας έκδοσης (1.9.x), επομένως ο αριθμός των ευάλωτων ιστότοπων είναι τουλάχιστον 3 εκατομμύρια.

Το Wordfence δεν έχει ακόμη εντοπίσει ενεργή εκμετάλλευση του CVE-2024-11205 στη φύση, αλλά συνιστάται η αναβάθμιση στην έκδοση 1.9.2.2 το συντομότερο δυνατό ή η απενεργοποίηση της προσθήκης από τον ιστότοπό σας.