Ciberseguridad 360 | Vulnerabilidad en el plugin WPForms de WordPress permite reembolsar pagos

Una vulnerabilidad en WPForms, un plugin de WordPress utilizado en m�s de 6 millones de sitios web, podr�a permitir a los usuarios a nivel de suscriptor emitir reembolsos arbitrarios de Stripe o cancelar suscripciones.

Rastreado como CVE-2024-11205, el fallo se clasific� como un problema de gravedad alta debido al requisito previo de autenticaci�n. Sin embargo, dado que la mayor�a de los sitios disponen de sistemas de suscripci�n, su explotaci�n puede resultar bastante sencilla en la mayor�a de los casos.

El problema afecta a WPForms desde la versi�n 1.8.4 hasta la 1.9.2.1, con un parche introducido en la versi�n 1.9.2.2, publicada el mes pasado.

WPForms es un constructor de formularios de WordPress f�cil de usar que permite arrastrar y soltar para crear formularios de contacto, comentarios, suscripciones y pagos, y que ofrece soporte para Stripe, PayPal, Square y otros.

El plugin est� disponible en versi�n premium (WPForms Pro) y gratuita (WPForms Lite). Esta �ltima est� activa en m�s de seis millones de sitios de WordPress.

La vulnerabilidad tiene su origen en el uso incorrecto de la funci�n 'wpforms_is_admin_ajax()' para determinar si una petici�n es una llamada AJAX de admin.

Aunque esta funci�n comprueba si la petici�n se origina desde una ruta de administrador, no aplica comprobaciones de capacidad para restringir el acceso en funci�n del rol o los permisos del usuario.

Esto permite a cualquier usuario autenticado, incluso suscriptores, invocar funciones AJAX sensibles como 'ajax_single_payment_refund()', que ejecuta reembolsos de Stripe, y 'ajax_single_payment_cancel()', que cancela suscripciones.

Las consecuencias de la explotaci�n de CVE-2024-11205 podr�an ser graves para los propietarios de sitios web, provocando p�rdida de ingresos, interrupci�n del negocio y problemas de confianza con su base de clientes.

Soluci�n disponible

El fallo fue descubierto por el investigador de seguridad 'vullu164', que lo comunic� al programa de recompensas por fallos de Wordfence para obtener un pago de 2.376 d�lares el 8 de noviembre de 2024.

Wordfence posteriormente valid� el informe y confirm� el exploit proporcionado, enviando todos los detalles al proveedor, Awesome Motive, el 14 de noviembre.

El 18 de noviembre, Awesome Motive public� la versi�n corregida 1.9.2.2, a�adiendo comprobaciones de capacidad y mecanismos de autorizaci�n adecuados en las funciones AJAX afectadas.

Seg�n las estad�sticas de wordpress.org, aproximadamente la mitad de los sitios que utilizan WPForms ni siquiera est�n en la �ltima rama de la versi�n (1.9.x), por lo que el n�mero de sitios web vulnerables es de al menos 3 millones.

Wordfence a�n no ha detectado la explotaci�n activa de CVE-2024-11205 en la naturaleza, pero se recomienda actualizar a la versi�n 1.9.2.2 lo antes posible o desactivar el plugin de su sitio.

Fuente: bleepingcomputer