Vulnerabilidade do plug-in WPForms afeta até 6 milhões de sites
O plugin WPForms para WordPress expõe sites a uma vulnerabilidade que permite que invasores atualizem assinaturas e emitam reembolsos. Essa falha permite que invasores modifiquem dados aos quais normalmente não deveriam ter acesso.
Verificação de capacidade ausente
A vulnerabilidade se deve à falta de verificação de capacidade em uma função do plug-in chamada wpforms_is_admin_page, o que significa que o plug-in não verifica as permissões apropriadas do usuário que está tentando fazer uma alteração com esta função. Isso significa que o plugin permite que os dados sejam modificados por invasores sem privilégios suficientes.
Os invasores precisam adquirir pelo menos permissões de assinante para lançar um ataque. Normalmente, esse tipo de ataque não atinge uma classificação de gravidade tão alta. Mas pode ser porque os sites que possuem usuários que pagam por uma assinatura provavelmente terão usuários no nível de assinante. Pode ser por isso que o nível de gravidade deste ataque autenticado é superior ao geral.
O anúncio do Wordfence explica assim:
“O plugin WPForms para WordPress é vulnerável à modificação não autorizada de dados devido à falta de verificação de capacidade na função ‘wpforms_is_admin_page’ em versões a partir de 1.8.4 até 1.9.2.1, inclusive. Isso possibilita que invasores autenticados, com acesso de nível de assinante e superior, reembolsem pagamentos e cancelem assinaturas.”
É recomendado que usuários das versões do plugin WPForms, usuários das versões 1.8.4 até 1.9.2.1 inclusive, atualizem seus plugins.
Leia o alerta de segurança do Wordfence:
Imagem em destaque por Shutterstock/Tithi Luadthong