6 milyondan fazla web sitesinde kullanılan bir WordPress eklentisi olan WPForms’taki bir güvenlik açığı, abone düzeyindeki kullanıcıların keyfi Stripe geri ödemeleri yapmasına veya abonelikleri iptal etmesine olanak tanıyabilir.
CVE-2024-11205 kapsamında takip edilen kusur, kimlik doğrulama önkoşulu nedeniyle yüksek önemde bir sorun olarak sınıflandırıldı. Ancak üyelik sistemlerinin çoğu sitede mevcut olduğu göz önüne alındığında, çoğu durumda bu sistemlerden yararlanmak oldukça kolay olabilir.
Sorun, WPForms’un 1.8.4 sürümünden 1.9.2.1 sürümüne kadar olan sürümlerini etkiliyor ve geçen ay yayınlanan 1.9.2.2 sürümünde bir yama yayınlandı.
WPForms, iletişim, geri bildirim, abonelik ve ödeme formları oluşturmaya yönelik, Stripe, PayPal, Square ve diğerleri için destek sunan, kullanımı kolay bir sürükle ve bırak WordPress form oluşturucusudur.
Eklentinin hem premium (WPForms Pro) sürümü hem de ücretsiz (WPForms Lite) sürümü mevcuttur. İkincisi altı milyondan fazla WordPress sitesinde aktiftir.
Güvenlik açığı, bir isteğin yönetici AJAX çağrısı olup olmadığını belirlemek için ‘wpforms_is_admin_ajax()’ işlevinin hatalı kullanılmasından kaynaklanıyor.
Bu işlev, isteğin bir yönetici yolundan kaynaklanıp kaynaklanmadığını kontrol ederken, kullanıcının rolüne veya izinlerine göre erişimi kısıtlamaya yönelik yetenek kontrollerini zorunlu kılmaz.
Bu, kimliği doğrulanmış herhangi bir kullanıcının, hatta abonelerin bile, Stripe geri ödemelerini yürüten ‘ajax_single_payment_refund()’ ve abonelikleri iptal eden ‘ajax_single_payment_cancel()’ gibi hassas AJAX işlevlerini çağırmasına olanak tanır.
CVE-2024-11205’in kötüye kullanılmasının sonuçları, web sitesi sahipleri için ciddi olabilir; bu da gelir kaybına, iş kesintisine ve müşteri tabanlarında güven sorunlarına yol açabilir.
Düzeltme mevcut
Kusur, 8 Kasım 2024’te Wordfence’in hata ödül programına 2.376 dolarlık bir ödeme karşılığında bildiren güvenlik araştırmacısı ‘vullu164’ tarafından keşfedildi.
Wordfence daha sonra raporu doğruladı ve sağlanan istismarı doğrulayarak tüm ayrıntıları 14 Kasım’da satıcı Awesome Motive’e gönderdi.
18 Kasım’a kadar Awesome Motive, etkilenen AJAX işlevlerine uygun yetenek kontrolleri ve yetkilendirme mekanizmaları ekleyen sabit 1.9.2.2 sürümünü yayınladı.
WordPress.org istatistiklerine göre, WPForms kullanan sitelerin yaklaşık yarısı en son sürüm dalında (1.9.x) bile değil, dolayısıyla savunmasız web sitelerinin sayısı en az 3 milyon.
Wordfence henüz CVE-2024-11205’in aktif olarak kullanıldığını tespit etmedi ancak mümkün olan en kısa sürede 1.9.2.2 sürümüne yükseltmeniz veya eklentiyi sitenizden devre dışı bırakmanız önerilir.