WPForms插件漏洞导致数百万WordPress网站面临Stripe退款风险
2024-12-11 17:59:0 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

WPForms是一款在超过600万个WordPress网站上使用的插件,最近被发现存在一个严重的安全漏洞。该漏洞允许拥有订阅者级别权限的用户执行任意Stripe退款或取消订阅操作。这个漏洞被追踪为CVE-2024-11205,并被归类为高严重性问题,因为它的利用需要认证。

受影响的WPForms版本从1.8.4开始,一直到1.9.2.1。幸运的是,开发团队已经在1.9.2.2版本中发布了补丁,修复了这一问题。WPForms是一款易于使用的拖放式WordPress表单构建器,支持创建联系表单、反馈表单、订阅表单和支付表单,并支持Stripe、PayPal、Square等多种支付方式。

漏洞的根源在于WPForms插件错误地使用了`wpforms_is_admin_ajax()`函数来判断请求是否为管理员AJAX调用。该函数虽然检查请求是否来自管理员路径,但并未强制执行基于用户角色或权限的能力检查。这使得任何经过认证的用户,即使是订阅者,也能调用敏感的AJAX函数,如`ajax_single_payment_refund()`(执行Stripe退款)和`ajax_single_payment_cancel()`(取消订阅)。

CVE-2024-11205的利用可能会给网站所有者带来严重后果,包括收入损失、业务中断和客户信任问题。安全研究人员Villu Orav发现了这一漏洞,并通过Wordfence的漏洞赏金计划报告了该漏洞,获得了2376美元的奖励。Wordfence随后验证了报告并确认了提供的漏洞利用方法,将详细信息发送给了供应商Awesome Motive。Awesome Motive于11月18日发布了修复版本1.9.2.2,增加了适当的权限检查和授权机制。

根据wordpress.org的统计数据,大约一半使用WPForms的网站甚至不在最新的发布分支(1.9.x)上,因此至少有300万个网站面临风险。Wordfence尚未检测到CVE-2024-11205在野外的活跃利用,但建议尽快升级到1.9.2.2版本或从网站上禁用该插件。

资讯来源:bleepingcomputer
转载请注明出处和本文链接


球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458585644&idx=3&sn=f727f4e41376948f65be9449f4cd865e&chksm=b18c3aa686fbb3b0c6405dc03aeb58b26e5f62d4d9c1e0c2cb0a445af540248b6d4b3d97ba64&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh