Специалисты по кибербезопасности выявили серьезную уязвимость в популярном WordPress-плагине WPForms, установленном более чем на 6 миллионах веб-сайтов. Обнаруженная проблема позволяет злоумышленникам с базовыми правами доступа осуществлять несанкционированные возвраты платежей и отменять платные подписки через платежную систему Stripe.
Технические детали уязвимости
Уязвимость, зарегистрированная под идентификатором CVE-2024-11205, связана с некорректной реализацией функции проверки прав доступа wpforms_is_admin_ajax(). Данный недостаток позволяет пользователям даже с минимальными правами доступа (уровня subscriber) эксплуатировать административные функции ajax_single_payment_refund() и ajax_single_payment_cancel(), предназначенные для управления платежами.
Масштаб проблемы и затронутые версии
Уязвимости подвержены версии WPForms от 1.8.4 до 1.9.2.1. По данным официальной статистики wordpress.org, около 50% сайтов все еще используют уязвимые версии плагина, что составляет приблизительно 3 миллиона веб-ресурсов. Разработчики из компании Awesome Motive оперативно выпустили исправление в версии 1.9.2.2.
Особенности обнаружения и вознаграждение
Уязвимость была выявлена независимым исследователем безопасности vullu164 в рамках программы bug bounty компании Wordfence. За обнаружение этой проблемы исследователь получил вознаграждение в размере 2376 долларов США. На момент публикации активных попыток эксплуатации уязвимости не зафиксировано.
Эксперты настоятельно рекомендуют администраторам сайтов незамедлительно обновить WPForms до версии 1.9.2.2. В случае невозможности оперативного обновления следует временно деактивировать плагин до устранения уязвимости. Данная ситуация подчеркивает критическую важность своевременного обновления программного обеспечения и регулярного мониторинга безопасности веб-приложений.
