Експерти з кібербезпеки виявили серйозну вразливість у популярному плагіні WPForms для WordPress, яка дозволяє зловмисникам несанкціоновано керувати платежами через систему Stripe. Вразливість зачіпає понад 6 мільйонів веб-сайтів та може призвести до значних фінансових втрат для власників бізнесу.
Технічний аналіз вразливості CVE-2024-11205
Основною причиною вразливості стала некоректна імплементація функції перевірки прав доступу wpforms_is_admin_ajax(). Дефект дозволяє користувачам з базовими правами (рівня subscriber) отримати несанкціонований доступ до адміністративних функцій ajax_single_payment_refund() та ajax_single_payment_cancel(). Це відкриває можливості для зловмисного повернення платежів та скасування платних підписок.
Масштаби впливу та вразливі версії плагіна
Вразливими є версії WPForms від 1.8.4 до 1.9.2.1. За статистикою wordpress.org, приблизно 3 мільйони веб-ресурсів все ще використовують незахищені версії плагіна. Компанія Awesome Motive випустила патч у версії 1.9.2.2, що усуває виявлену вразливість.
Процес виявлення та винагорода дослідника
Вразливість була знайдена дослідником безпеки vullu164 в рамках програми bug bounty Wordfence. За виявлення цієї критичної проблеми дослідник отримав винагороду в розмірі 2376 доларів США. На момент публікації активних спроб експлуатації вразливості не зафіксовано, проте ризик залишається високим.
Фахівці з кібербезпеки наполегливо рекомендують адміністраторам сайтів терміново оновити WPForms до версії 1.9.2.2. Якщо миттєве оновлення неможливе, рекомендується тимчасово деактивувати плагін. Цей інцидент вкотре підкреслює критичну важливість регулярного оновлення програмного забезпечення та впровадження комплексної стратегії захисту веб-ресурсів.
