HomeSecurityΣφάλμα στο WPForms επιτρέπει επιστροφές χρημάτων σε εκατομμύρια ιστότοπους WordPress

Σφάλμα στο WPForms επιτρέπει επιστροφές χρημάτων σε εκατομμύρια ιστότοπους WordPress

Ένα σφάλμα στο WPForms, μια προσθήκη WordPress που χρησιμοποιείται σε πάνω από 6 εκατομμύρια ιστότοπους, θα μπορούσε να επιτρέψει στους χρήστες σε επίπεδο συνδρομητών να εκδίδουν αυθαίρετες επιστροφές χρημάτων Stripe ή να ακυρώσουν συνδρομές.

Δείτε επίσης: Ευπάθεια του WordPress Gutenberg Editor επιτρέπει εισαγωγή κακόβουλων σεναρίων

WPForms σφάλμα WordPress

Γνωστό ως CVE-2024-11205, το ελάττωμα κατηγοριοποιήθηκε ως πρόβλημα υψηλής σοβαρότητας λόγω της προϋπόθεσης ελέγχου ταυτότητας. Ωστόσο, δεδομένου ότι τα συστήματα μελών είναι διαθέσιμα στους περισσότερους ιστότοπους, η εκμετάλλευση μπορεί να είναι αρκετά εύκολη στις περισσότερες περιπτώσεις.

Το ζήτημα επηρεάζει το WPForms από την έκδοση 1.8.4 και έως την 1.9.2.1, με μια ενημερωμένη έκδοση κώδικα που προωθήθηκε στην έκδοση 1.9.2.2, η οποία κυκλοφόρησε τον περασμένο μήνα.

Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας

SecNewsTV 10 Ιανουάριος 2025, 18:44 18:44

Το WPForms είναι ένα εύκολο στη χρήση εργαλείο δημιουργίας φορμών WordPress με μεταφορά και απόθεση για τη δημιουργία φορμών επαφής, σχολίων, συνδρομής και πληρωμής, προσφέροντας υποστήριξη για Stripe, PayPal, Square και άλλα. Το πρόσθετο είναι διαθέσιμο τόσο σε έκδοση premium (WPForms Pro) όσο και σε δωρεάν (WPForms Lite) έκδοση. Το τελευταίο είναι ενεργό σε πάνω από έξι εκατομμύρια ιστότοπους WordPress.

Δείτε ακόμα: WordPress: Κρίσιμες ευπάθειες στο Spam protection, Anti-Spam, FireWall plugin

Το σφάλμα του WPForms, προέρχεται από την ακατάλληλη χρήση της συνάρτησης ‘wpforms_is_admin_ajax()‘ για να προσδιοριστεί εάν ένα αίτημα είναι μια κλήση διαχειριστή AJAX.

Ενώ αυτή η συνάρτηση ελέγχει εάν το αίτημα προέρχεται από μια διαδρομή διαχειριστή, δεν επιβάλλει ελέγχους δυνατοτήτων για περιορισμό της πρόσβασης βάσει του ρόλου ή των δικαιωμάτων του χρήστη. Αυτό επιτρέπει σε οποιονδήποτε πιστοποιημένο χρήστη, ακόμη και σε συνδρομητές, να επικαλείται ευαίσθητες λειτουργίες AJAX όπως το ‘ajax_single_payment_refund(),‘ που εκτελεί επιστροφές χρημάτων Stripe και το ‘ajax_single_payment_cancel(),‘ που ακυρώνει τις συνδρομές.

Οι συνέπειες της εκμετάλλευσης του CVE-2024-11205 θα μπορούσαν να είναι σοβαρές για τους κατόχους ιστοτόπων, οδηγώντας σε απώλεια εσόδων, διακοπή της επιχείρησης και ζητήματα εμπιστοσύνης με την πελατειακή τους βάση.

Μέχρι τις 18 Νοεμβρίου, η Awesome Motive κυκλοφόρησε την επιδιορθωμένη έκδοση 1.9.2.2, προσθέτοντας κατάλληλους ελέγχους δυνατοτήτων και μηχανισμούς εξουσιοδότησης στις επηρεαζόμενες λειτουργίες AJAX.

Δείτε επίσης: Ευπάθεια στο WordPress Plugin εκθέτει websites στους hackers

Η ασφάλεια είναι ένα ζωτικό θέμα που αφορά την ευημερία και την προστασία των δεδομένων μας. Οι ασφάλεια πληροφοριών και οι προστατευτικοί μηχανισμοί αποτελούν προτεραιότητα για τη διατήρηση της αξιοπιστίας των συστημάτων μας. Καθώς η τεχνολογία εξελίσσεται, είναι σημαντικό να αντιμετωπίζουμε ενεργά τα σφάλματα ασφάλειας, όπως αυτό του WPForms, συμπεριλαμβανομένων των προβλημάτων και των ευπαθειών του συστήματος μας. Παρακολουθούμε στενά τις εξελίξεις και λαμβάνουμε τα απαραίτητα μέτρα για να διασφαλίσουμε την ασφάλεια των δεδομένων μας και να αντιμετωπίσουμε αποτελεσματικά τυχόν προβλήματα ασφαλείας.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS