È stata rilevata una vulnerabilità nel plug-in WPForms WordPress, un pluginutilizzato da oltre 6 milioni di siti, che consente agli utenti di emettere rimborsi arbitrari tramite Stripe o annullare abbonamenti.

WPForms è un generatore di moduli per WordPress che ti consente di creare moduli di contatto, iscrizione e pagamento e supporta anche Stripe, PayPal, Square e altri sistemi di pagamento.

Il problema viene monitorato sotto il CVE-2024-11205 e non è considerato critico in quanto richiede l’autenticazione per essere sfruttato. Tuttavia, dato che un utente necessita di autorizzazioni a livello di abbonato e che i sistemi di registrazione sono disponibili sui siti vulnerabili per altri bug noti, il problema potrebbe rappresentare una seria minaccia.

La vulnerabilità è stata scoperta dal ricercatore indipendente sulla sicurezza informatica vullu164, che ha ricevuto 2.376 dollari per la sua scoperta come parte del programma Wordfence bug boony.

Il problema è dovuto all’uso errato della funzione wpforms_is_admin_ajax() per determinare se una richiesta AJAX proviene da un amministratore. In effetti, il bug consente a qualsiasi utente autenticato (anche a livello di abbonato) di utilizzare funzioni come ajax_single_payment_refund(), che esegue un rimborso in Stripe, e ajax_single_payment_cancel(), che annulla un abbonamento.

La vulnerabilità colpisce le versioni di WPForms dalla 1.8.4 alla 1.9.2.1 e il mese scorso gli sviluppatori del plugin, Awesome Motive, hanno rilasciato una patch come parte della versione 1.9.2.2.

Secondo le statistiche di wordpress.org, su circa la metà di tutti i siti che utilizzano WPForms, il plugin non è stato aggiornato a una versione sicura (e nemmeno all’attuale ramo 1.9.x), ovvero il numero di risorse vulnerabili è almeno 3 milioni.

Gli specialisti di Wordfence sottolineano di non aver ancora rilevato lo sfruttamento attivo di CVE-2024-11205, ma raccomandano vivamente agli amministratori di aggiornare il plugin alla versione 1.9.2.2 il prima possibile o di disabilitarlo temporaneamente.

L'articolo Allerta WordPress: Vulnerabilità critica in WPForms mette a rischio 3 milioni di siti! proviene da il blog della sicurezza informatica.