Une vulnérabilité dans WPForms, un plugin WordPress utilisé dans plus de 6 millions de sites Web, pourrait permettre aux utilisateurs au niveau de l’abonné d’émettre des remboursements arbitraires Stripe ou d’annuler des abonnements.
Suivie sous CVE-2024-11205, la faille a été classée comme un problème de gravité élevée en raison de la condition préalable d’authentification. Cependant, étant donné que les systèmes d’adhésion sont disponibles sur la plupart des sites, l’exploitation peut être assez facile dans la plupart des cas.
Le problème affecte WPForms à partir de la version 1.8.4 et jusqu’à la version 1.9.2.1, avec un correctif poussé dans la version 1.9.2.2, publiée le mois dernier.
WPForms est un générateur de formulaires WordPress glisser-déposer facile à utiliser pour créer des formulaires de contact, de commentaires, d’abonnement et de paiement, offrant une prise en charge de Stripe, PayPal, Square et autres.
Le plugin est disponible à la fois en version premium (WPForms Pro) et en édition gratuite (WPFORMS Lite). Ce dernier est actif sur plus de six millions de sites WordPress.
La vulnérabilité provient de l’utilisation incorrecte de la fonction ‘wpforms_is_admin_ajax()’ pour déterminer si une requête est un appel AJAX administrateur.
Bien que cette fonction vérifie si la demande provient d’un chemin d’accès administrateur, elle n’applique pas de vérifications de capacité pour restreindre l’accès en fonction du rôle ou des autorisations de l’utilisateur.
Cela permet à tout utilisateur authentifié, même aux abonnés, d’invoquer des fonctions AJAX sensibles telles que ‘ajax_single_payment_refund ()’, qui exécute les remboursements Stripe, et ‘ajax_single_payment_cancel ()’, qui annule les abonnements.
Les conséquences de l’exploitation de CVE-2024-11205 pourraient être graves pour les propriétaires de sites Web, entraînant une perte de revenus, des perturbations commerciales et des problèmes de confiance avec leur clientèle.
Correctif disponible
La faille a été découverte par le chercheur en sécurité « vullu164 », qui l’a signalée au programme de primes aux bogues de Wordfence pour un paiement de 2 376 November le 8 novembre 2024.
Wordfence a ensuite validé le rapport et confirmé l’exploit fourni, en envoyant tous les détails au fournisseur, Awesome Motive, le 14 novembre.
Le 18 novembre, Awesome Motive a publié la version corrigée 1.9.2.2, ajoutant des contrôles de capacité et des mécanismes d’autorisation appropriés dans les fonctions AJAX affectées.
Selon wordpress.org statistiques, environ la moitié de tous les sites utilisant WPForms ne sont même pas sur la dernière branche de publication (1.9.x), donc le nombre de sites Web vulnérables est d’au moins 3 millions.
Wordfence n’a pas encore détecté d’exploitation active de CVE-2024-11205 dans la nature, mais il est recommandé de passer à la version 1.9.2.2 dès que possible ou de désactiver le plugin à partir de votre site.