Έχει εντοπιστεί μια κρίσιμη αδυναμία στο WPForms Plugin για WordPress, η οποία ενδέχεται να επηρεάσει έως και 6 εκατομμύρια ιστοτόπους. Το πρόβλημα επιτρέπει στους επιτιθέμενους να τροποποιήσουν συνδρομές και να εκδώσουν επιστροφές χρημάτων, εκθέτοντας ευαίσθητα δεδομένα σε κίνδυνο.
Έλλειψη Ελέγχου Δικαιωμάτων
Η ευπάθεια προκύπτει από την έλλειψη ελέγχου δικαιωμάτων στη συνάρτηση wpforms_is_admin_page. Αυτό σημαίνει ότι το plugin δεν ελέγχει τα δικαιώματα του χρήστη προτού επιτρέψει κάποιες ενέργειες. Ως αποτέλεσμα, οι επιτιθέμενοι μπορούν να τροποποιήσουν δεδομένα χωρίς να έχουν τα απαιτούμενα δικαιώματα.
Απαιτήσεις Επίθεσης
Για να εκμεταλλευτεί κάποιος αυτή την αδυναμία , πρέπει να έχει τουλάχιστον πρόσβαση επιπέδου Συνδρομητή. Αν και αυτό μπορεί να φαίνεται λιγότερο επικίνδυνο, η επίδραση είναι σημαντική, ειδικά για ιστοτόπους που περιλαμβάνουν πληρωμένες συνδρομές. Αυτοί οι ιστοτόποι είναι πιο πιθανό να έχουν χρήστες με επίπεδο Συνδρομητή, καθιστώντας αυτή την επίθεση πιο επικίνδυνη και σοβαρή από άλλες παρόμοιες αδυναμίες.
Σύμφωνα με την ανακοίνωση του Wordfence, η ευπάθεια επηρεάζει τις εκδόσεις του πρόσθετου WPForms 1.8.4 έως 1.9.2.1. Με αυτό το σφάλμα, οι επιτιθέμενοι με αυθεντικοποιημένη πρόσβαση (επιπέδου Συνδρομητή ή ανώτερο) μπορούν να επιστρέψουν πληρωμές και να ακυρώσουν συνδρομές, κάτι που μπορεί να οδηγήσει σε σημαντικές οικονομικές ζημιές για τους ιδιοκτήτες ιστοτόπων.
Σύσταση Ασφαλείας
Συνιστάται ανεπιφύλακτα σε όλους τους χρήστες του πρόσθετου WPForms που χρησιμοποιούν εκδόσεις 1.8.4 έως 1.9.2.1 να αναβαθμίσουν στην τελευταία έκδοση το συντομότερο δυνατό για να προστατευτούν από αυτήν την ευπάθεια.
Για περισσότερες πληροφορίες, διαβάστε την πλήρη ανακοίνωση ασφαλείας του Wordfence:
