Eine schwerwiegende Sicherheitslücke wurde im populären WordPress-Plugin WPForms entdeckt, die mehr als 6 Millionen Websites potenziell gefährdet. Die Schwachstelle ermöglicht es Angreifern mit minimalen Zugriffsrechten, unauthorized Zahlungsrückerstattungen durchzuführen und Stripe-Abonnements zu stornieren.
Technische Analyse der Sicherheitslücke
Die als CVE-2024-11205 klassifizierte Schwachstelle basiert auf einer fehlerhaften Implementierung der Zugriffsrechteprüfung in der Funktion wpforms_is_admin_ajax(). Diese Schwachstelle ermöglicht es Nutzern mit einfachen Subscriber-Rechten, administrative AJAX-Funktionen wie ajax_single_payment_refund() und ajax_single_payment_cancel() zu missbrauchen, die eigentlich nur autorisierten Administratoren vorbehalten sein sollten.
Betroffene Systeme und Verbreitungsgrad
Die Sicherheitslücke betrifft WPForms-Versionen von 1.8.4 bis 1.9.2.1. Besonders besorgniserregend ist die Tatsache, dass nach offiziellen wordpress.org-Statistiken etwa 50% aller Installationen – entsprechend circa 3 Millionen Websites – noch immer anfällige Versionen des Plugins verwenden. Das Entwicklerteam von Awesome Motive hat bereits mit Version 1.9.2.2 ein Sicherheitsupdate bereitgestellt.
Entdeckung und Bug Bounty
Der unabhängige Sicherheitsforscher vullu164 identifizierte die Schwachstelle im Rahmen des Wordfence Bug Bounty Programms. Für diese bedeutende Entdeckung erhielt der Researcher eine Prämie von 2.376 US-Dollar. Bislang wurden keine aktiven Ausnutzungsversuche der Sicherheitslücke in freier Wildbahn beobachtet.
Aufgrund der potenziellen Auswirkungen dieser Sicherheitslücke wird allen Website-Administratoren dringend empfohlen, umgehend auf WPForms Version 1.9.2.2 zu aktualisieren. Falls ein sofortiges Update nicht möglich ist, sollte das Plugin temporär deaktiviert werden. Diese Situation unterstreicht einmal mehr die essenzielle Bedeutung eines proaktiven Patch-Managements und kontinuierlichen Sicherheitsmonitorings für WordPress-Installationen. Website-Betreiber sollten zusätzlich ihre Zahlungsprotokolle auf verdächtige Aktivitäten überprüfen und gegebenenfalls zusätzliche Sicherheitsmaßnahmen implementieren.
