آسیب پذیری وصله های افزونه WPForms که بر پرداخت های Stripe و اشتراک ها تأثیر می گذارد – WP Tavern

انگیزه های عالی فرم های WP افزونه یک آسیب پذیری «مجوز مجوز برای بازپرداخت پرداخت و لغو اشتراک» را اصلاح کرده است. این مشکل به مهاجمان احراز هویت شده با دسترسی در سطح مشترک یا بالاتر اجازه می دهد تا پرداخت های Stripe را بازپرداخت کرده و اشتراک ها را بدون مجوز مناسب لغو کنند.

Wordfence گزارش می دهد که "افزونه WPForms برای وردپرس به دلیل بررسی عدم وجود قابلیت بررسی قابلیت "wpforms_is_admin_page" در نسخه های از 1.8.4 تا و شامل 1.9.2.1 در برابر تغییرات غیرمجاز داده ها آسیب پذیر است. این امکان را برای مهاجمان احراز هویت شده، با دسترسی سطح مشترک و بالاتر، بازپرداخت پرداخت ها و لغو اشتراک ها فراهم می کند.»

محققان آسیب پذیری (CVE-2024-11205) را با امتیاز CVSS 8.5 به عنوان «بالا» طبقه بندی کرده اند. محقق آسیب پذیری پست مارتون ایستوان جزئیات فنی بیشتری در مورد آسیب پذیری افزونه دارد.

محقق سنجاب ویلو، که در ابتدا این آسیب پذیری را از طریق برنامه Wordfence Bug Bounty کشف و گزارش کرد، به عنوان اولین دریافت کننده نشان ابرقهرمان وردپرس در Wordfence شناخته شد. اوراو همچنین برای کشف خود جایزه 2376 دلاری دریافت کرد.

WPForms یک افزونه پرکاربرد با بیش از 6 میلیون نصب فعال است که این وصله را بسیار مهم می کند. اکیداً به کاربران توصیه می شود که برای محافظت در برابر ضرر احتمالی درآمد و اطمینان از امنیت سایت، نسخه اصلاح شده، 1.9.2.2 را به روزرسانی کنند.