CVE-2024-11205 Güvenlik Açığı 6 Milyon WordPress Sitesini Etkiliyor

   Aralık 10, 2024  Posted in ThecyberExpress


6 milyondan fazla aktif web sitesi tarafından kullanılan popüler bir WordPress form oluşturucusu olan WPForms eklentisinde CVE-2024-11205 olarak tanımlanan kritik bir güvenlik açığı keşfedildi. CVSS puanı 8,5 olan bu güvenlik açığı, ödeme işleme ve abonelik yönetimi için WPForms’a güvenen, özellikle de Stripe entegrasyonunu kullanan işletmeleri hedef alıyor.

Bu kusur, kimliği doğrulanmış saldırganların bu güvenlik açığından yararlanarak Stripe aboneliklerinin yetkisiz iadelerini ve iptallerini gerçekleştirmesine olanak tanıyor ve bu da potansiyel olarak finansal kayba ve operasyonel kesintilere yol açıyor.

WPForms Eklentisi Güvenlik Açığı’nı Anlama (CVE-2024-11205)

WPForms, iletişim, geri bildirim ve ödeme formları dahil olmak üzere çeşitli form türleri oluşturmak için en yaygın kullanılan WordPress eklentilerinden biridir. Eklenti, kullanıcıların formları tasarlamasını ve yönetmesini kolaylaştıran sezgisel sürükle ve bırak arayüzü nedeniyle özellikle popülerdir.

WPForms’taki güvenlik açığı, eklentinin temel işlevselliğindeki, özellikle de eklentideki bir kusurdan kaynaklanıyor. Tek Eylem İşleyicisi Stripe ödeme işlemlerini yöneten sınıf. Savunmasız işlevler, ajax_single_payment_refund() Ve ajax_single_payment_cancel()abone düzeyinde veya daha yüksek ayrıcalıklara sahip saldırganların genellikle yöneticilerle sınırlı olan eylemleri yürütmesine olanak tanır.

Bu işlevler şunlara dayanır: wpforms_is_admin_ajax() Bir AJAX isteğinin yönetici arayüzünden gelip gelmediğini doğrulama işlevi. Ancak sorun, bu işlevin uygun yetenek kontrollerinden yoksun olması nedeniyle ortaya çıkıyor ve bu da onu istismara açık hale getiriyor. Her ne kadar bu işlevler korumasız olsa da, kimliği doğrulanmış saldırganlar yine de bu korumaları atlayabilir ve bu güvenlik açığından yararlanarak yetkisiz eylemler gerçekleştirebilir.

WPForms Güvenlik Açığı’nın Etkisi

Bu WPForms güvenlik açığının etkisi, özellikle Stripe ödemelerini yönetmek için WPForms kullanan işletmeler açısından ciddidir. En azından abone düzeyinde ayrıcalıklara sahip bir hesaba erişim kazanan saldırganlar, Stripe ödemelerini iade edebilir veya aktif Stripe aboneliklerini iptal edebilir. Bu şunlara yol açabilir:


Tarayıcınız video etiketini desteklemiyor.

  • Saldırganlar meşru ödemeler için yetkisiz geri ödemeler başlatabilir ve bu da işletmelere mali zarar verme potansiyeline sahiptir.
  • Saldırganlar aktif abonelikleri iptal ederek devam eden hizmetlere müdahale ederek müşteri ilişkilerine zarar verebilir.
  • Yetkisiz iadeler veya iptaller meydana geldiğinde, işletmelerin hasarı gidermek için zaman ve kaynak yatırımı yapması gerekir, bu da operasyonel maliyetleri artırır.

Güvenlik açığı, WPForms’un 1.8.4 ile 1.9.2.1 arasındaki sürümlerinde mevcuttu ve bu da önemli sayıda web sitesini savunmasız hale getiriyor. Eklentinin yaygın kullanımı göz önüne alındığında kusur, ödeme ve abonelik hizmetlerini yürütmek için WPForms’a güvenen milyonlarca WordPress sitesini etkiliyor.

CVE-2024-11205’in Teknik Detayları

Güvenlik açığı, yetenek kontrollerinin yokluğundan kaynaklanmaktadır. wpforms_is_admin_ajax() işlev. Bu işlev, WordPress yönetici arayüzünden bir AJAX isteğinin gelip gelmediğini doğrulamak için kullanılır. Ancak gerekli yetkilendirme kontrollerini yapmayarak işlevi daha düşük düzey ayrıcalıklara sahip saldırganlar tarafından kötüye kullanıma açık hale getirir.

İşte konunun dökümü:

  • Etkilenen İşlevler: ajax_single_payment_refund() Ve ajax_single_payment_cancel() Geri ödemeler ve abonelik iptalleri gibi Stripe ödeme işlemlerini gerçekleştirin. Bu eylemler normalde yöneticilerle sınırlıdır.
  • Yetki Kontrollerinin Eksikliği: wpforms_is_admin_ajax() işlev uygun yetkilendirme kontrollerini gerçekleştirmiyor. Abone düzeyinde erişime sahip saldırganlar, AJAX eylemlerini başlatmak ve yetkisiz ödeme eylemlerini yürütmek için bu kusurdan yararlanabilir.
  • Tekrar Koruma: Güvenlik açığı bulunan işlevler, tek seferlik doğrulamayla korunurken, saldırganlar tek seferlik doğrulamayı alarak bunu atlayabilir ve böylece geri ödeme veya abonelik iptali eylemlerini tetikleyebilirler.

Azaltma ve Güncellemeler

CVE-2024-11205 ile ilişkili riskleri azaltmak için kullanıcıların WPForms eklentilerini en son sürüm olan 1.9.2.2’ye güncellemeleri önemle tavsiye edilir. Yamalı sürüm, eksik yetkilendirme kontrollerini ele alır ve eklenti içindeki ödeme ve abonelik işlemlerini yalnızca yetkili kullanıcıların tetikleyebilmesini sağlar.

  1. WordPress sitenizin WPForms’un en son sürümünü (1.9.2.2 veya daha yeni) çalıştırdığından emin olun.
  2. Yalnızca güvenilir kişilerin abone düzeyinde veya daha yüksek düzeyde erişime sahip olduğundan emin olmak için WordPress sitenizdeki kullanıcı rollerini ve izinlerini gözden geçirmeyi düşünün.
  3. Yama uygulanana kadar meydana gelebilecek izinsiz iade veya iptallere karşı dikkatli olun.

WPForms Güvenlik Açığı’na Yanıt

WPForms eklentisindeki CVE-2024-11205 güvenlik açığı, yaygın olarak kullanılan WordPress eklentilerindeki güvenlik kusurlarının ele alınmasının kritik önemini vurgulamaktadır. 6 milyondan fazla aktif kurulumla bu güvenlik açığının mali kayba neden olma ve iş operasyonlarını aksatma potansiyeli vardı. Wordfence’in yanıtı, WPForms geliştirme ekibiyle işbirliği içinde, etkili güvenlik önlemleri yoluyla hem premium hem de ücretsiz kullanıcılar da dahil olmak üzere kullanıcıları için zamanında koruma sağladı.



Source link