Usado em mais de 6 milhões de sites WordPress, o Plugin WPForms permite reembolsos do Stripe por causa de um bug.
O WPForms é um plugin popular para criação de formulários no WordPress, conhecido por sua interface intuitiva de arrastar e soltar, que facilita a criação de formulários para usuários iniciantes e experientes.
Esse plugin é amplamente usado para criar formulários de contato, pesquisa, inscrição, pagamentos e muito mais.
Agora, uma vulnerabilidade no WPForms pode permitir que usuários de nível de assinante emitam reembolsos arbitrários do Stripe ou cancelem assinaturas.
Plugin WPForms permite reembolsos do Stripe por causa de Bug
Rastreada sob CVE-2024-11205, a falha foi categorizada como um problema de alta gravidade devido ao pré-requisito de autenticação. No entanto, dado que os sistemas de associação estão disponíveis na maioria dos sites, a exploração pode ser bastante fácil na maioria dos casos.
O problema afeta o WPForms da versão 1.8.4 até 1.9.2.1, com um patch enviado na versão 1.9.2.2, lançada no mês passado.
O WPForms é um construtor de formulários WordPress de arrastar e soltar fácil de usar para criar formulários de contato, feedback, assinatura e pagamento, oferecendo suporte para Stripe, PayPal, Square e outros.
O plugin está disponível em uma versão premium (WPForms Pro) e uma edição gratuita (WPForms Lite). Este último está ativo em mais de seis milhões de sites WordPress.
A vulnerabilidade decorre do uso indevido da função ‘wpforms_is_admin_ajax()’ para determinar se uma solicitação é uma chamada AJAX de administrador.
Embora esta função verifique se a solicitação se origina de um caminho de administrador, ela não impõe verificações de capacidade para restringir o acesso com base na função ou permissões do usuário.
Isso permite que qualquer usuário autenticado, até mesmo assinantes, invoque funções AJAX sensíveis como ‘ajax_single_payment_refund()’, que executa reembolsos do Stripe, e ‘ajax_single_payment_cancel()’, que cancela assinaturas.
As consequências da exploração CVE-2024-11205 podem ser severas para proprietários de sites, levando à perda de receita, interrupção de negócios e problemas de confiança com sua base de clientes.
Correção disponível
A falha foi descoberta pelo pesquisador de segurança ‘vullu164’, que a relatou ao programa de recompensas por bugs do Wordfence por um pagamento de US$ 2.376 em 8 de novembro de 2024.
O Wordfence posteriormente validou o relatório e confirmou o exploit fornecido, enviando todos os detalhes ao fornecedor, Awesome Motive, em 14 de novembro.
Em 18 de novembro, o Awesome Motive lançou a versão corrigida 1.9.2.2, adicionando verificações de capacidade adequadas e mecanismos de autorização nas funções AJAX afetadas.
De acordo com as estatísticas do wordpress.org, cerca de metade de todos os sites que usam WPForms nem estão na última versão do branch (1.9.x), então o número de sites vulneráveis é de pelo menos 3 milhões.
O Wordfence ainda não detectou exploração ativa do CVE-2024-11205 na natureza, mas é recomendável atualizar para a versão 1.9.2.2 o mais rápido possível ou desabilitar o plugin do seu site.
