【安全资讯】WPForms漏洞导致数百万WordPress网站Stripe退款风险

安恒恒脑 2024-12-11 19:08:50 177人浏览

概要:

WPForms插件的一个高危漏洞可能导致数百万WordPress网站的用户被允许随意发起Stripe退款或取消订阅。这一漏洞被标记为CVE-2024-11205,影响了超过600万个网站,给网站所有者带来了潜在的财务损失和信任危机。

主要内容:

WPForms是一个广泛使用的WordPress表单构建插件,支持Stripe等支付方式。该漏洞源于对'wpforms_is_admin_ajax()'函数的不当使用,导致任何经过身份验证的用户,包括普通订阅者,都可以调用敏感的AJAX函数,如'ajax_single_payment_refund()'和'ajax_single_payment_cancel()',从而执行退款和取消订阅操作。

漏洞影响的版本包括WPForms 1.8.4至1.9.2.1,修复版本1.9.2.2已于上月发布。安全研究员'vullu164'于2024年11月8日向Wordfence的漏洞奖励计划报告了该问题,并获得了2376美元的奖励。Wordfence随后确认了漏洞的存在,并将详细信息提供给了插件开发商Awesome Motive。

根据wordpress.org的统计,约有一半使用WPForms的网站并未更新到最新版本,这意味着至少有300万个网站仍然处于易受攻击状态。尽管Wordfence尚未检测到该漏洞的实际利用,但建议用户尽快升级到1.9.2.2版本或禁用该插件,以防止潜在的财务损失和业务中断。
安全漏洞 数据泄露 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。