Uma vulnerabilidade grave foi descoberta no WPForms, um dos plugins mais populares do WordPress, usado em mais de 6 milhões de sites. A falha, identificada como CVE-2024-11205, permite que usuários com nível de acesso de assinante emitam reembolsos arbitrários no Stripe ou cancelem assinaturas, representando um risco significativo para os proprietários de sites.
A falha foi classificada como de alta gravidade, pois exige autenticação prévia. No entanto, em sites com sistemas de associação, a exploração pode ser relativamente simples.
Impacto e abrangência
O problema afeta as versões do WPForms entre 1.8.4 e 1.9.2.1. Uma correção foi disponibilizada na versão 1.9.2.2, lançada no mês passado. O WPForms é conhecido por sua facilidade de uso, permitindo criar formulários para contato, feedback, assinaturas e pagamentos com suporte para gateways como Stripe, PayPal e Square.
Infelizmente, a vulnerabilidade surgiu devido ao uso inadequado da função wpforms_is_admin_ajax() para validar solicitações AJAX administrativas. Essa função verifica se a solicitação é feita por meio de um caminho administrativo, mas não impõe verificações de capacidade para limitar o acesso com base no papel ou permissões do usuário.
Isso significa que qualquer usuário autenticado, incluindo assinantes, pode acessar funções AJAX sensíveis como ajax_single_payment_refund(), que emite reembolsos no Stripe, e ajax_single_payment_cancel(), que cancela assinaturas.
Notícias Relacionadas
Bug corrigido
Atualização do Windows 10 corrige erro de ativação
A atualização KB5048652 do Windows 10 corrige problemas como a ativação do sistema após troca de placa-mãe. Contém 6 correções essenciais e é obrigatória para segurança.
Tecnologia industrial
Nokia 360 Camera: câmera 5G 8K 360° para uso industrial
Nokia revela sua nova câmera 5G 8K 360°, projetada para uso industrial, oferecendo vídeo ao vivo, segurança cibernética e alta resistência.
Riscos associados
Os impactos da exploração da CVE-2024-11205 podem ser devastadores, incluindo perda de receita, interrupção de negócios e prejuízo à confiança dos clientes no site afetado.
Solução e recomendações
A falha foi descoberta pelo pesquisador de segurança ‘vullu164’, que a relatou ao programa de recompensas do Wordfence em 8 de novembro de 2024, recebendo um pagamento de US$ 2.376. A equipe da Wordfence validou o relatório e encaminhou os detalhes ao desenvolvedor do WPForms, a Awesome Motive, em 14 de novembro.
Em 18 de novembro, a versão 1.9.2.2 foi lançada, corrigindo a vulnerabilidade por meio da implementação de verificações adequadas de capacidade e mecanismos de autorização nas funções AJAX afetadas.
Segundo dados do wordpress.org, cerca de metade dos sites que utilizam o WPForms ainda não atualizaram para a versão mais recente (1.9.x), deixando pelo menos 3 milhões de sites vulneráveis. Embora a Wordfence não tenha detectado exploração ativa dessa falha até agora, é altamente recomendável que os administradores atualizem para a versão 1.9.2.2 ou desativem o plugin temporariamente para proteger seus sites.
Conclusão
Essa vulnerabilidade reforça a importância de manter plugins e sistemas atualizados para proteger os sites contra potenciais ameaças. Atualize seu WPForms agora e evite possíveis prejuízos.
