قد تسمح ثغرة أمنية في WPForms، وهو مكون إضافي لـ WordPress يستخدم في أكثر من 6 ملايين موقع ويب، للمستخدمين على مستوى المشتركين بإصدار المبالغ المستردة بشكل تعسفي لـ Stripe أو إلغاء الاشتراكات.
تم تتبع الخلل ضمن CVE-2024-11205، وتم تصنيف الخلل على أنه مشكلة عالية الخطورة بسبب متطلبات المصادقة الأساسية. ومع ذلك، ونظرًا لتوفر أنظمة العضوية في معظم المواقع، فقد يكون الاستغلال سهلاً إلى حد ما في معظم الحالات.
تؤثر المشكلة على WPForms من الإصدار 1.8.4 وحتى 1.9.2.1، مع التصحيح المدفوع في الإصدار 1.9.2.2، الذي تم إصداره الشهر الماضي.
WPForms عبارة عن أداة إنشاء نماذج WordPress سهلة الاستخدام تعمل بالسحب والإفلات لإنشاء نماذج جهات الاتصال والتعليقات والاشتراكات والدفع، كما تقدم الدعم لـ Stripe وPayPal وSquare وغيرها.
يتوفر البرنامج الإضافي في كل من الإصدار المميز (WPForms Pro) والإصدار المجاني (WPForms Lite). هذا الأخير نشط على أكثر من ستة ملايين موقع WordPress.
تنبع الثغرة الأمنية من الاستخدام غير الصحيح للوظيفة “wpforms_is_admin_ajax()” لتحديد ما إذا كان الطلب عبارة عن استدعاء AJAX للمسؤول.
بينما تتحقق هذه الوظيفة مما إذا كان الطلب ينشأ من مسار مسؤول، فإنها لا تفرض عمليات فحص القدرة لتقييد الوصول بناءً على دور المستخدم أو أذوناته.
يسمح هذا لأي مستخدم تمت مصادقته، حتى المشتركين، باستدعاء وظائف AJAX الحساسة مثل ‘ajax_single_Payment_refund()’، الذي ينفذ عمليات استرداد الأموال من Stripe، و’ajax_single_pay_cancel()’، الذي يلغي الاشتراكات.
عواقب”https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wpforms-lite/wpforms-184-1921-missing-authorization-to-authenticated-subscriber-payment-refund-and-subscription-cancellation” الهدف=”_blank” rel=”nofollow noopener”>CVE-2024-11205 قد يكون الاستغلال شديدًا بالنسبة لأصحاب مواقع الويب، مما يؤدي إلى خسارة الإيرادات وتعطيل الأعمال ومشكلات الثقة مع قاعدة عملائهم.
الإصلاح متاح
تم اكتشاف الخلل من قبل الباحث الأمني ”vullu164″، الذي أبلغ عنه”https://www.wordfence.com/blog/2024/12/6000000-wordpress-sites-protected-against-payment-refund-and-subscription-cancellation-vulnerability-in-wpforms-wordpress-plugin/” الهدف=”_blank” rel=”nofollow noopener”> ووردفينسبرنامج مكافأة الأخطاء البرمجية الخاص بـ بدفع مبلغ قدره 2,376 دولارًا أمريكيًا في 8 نوفمبر 2024.
قامت Wordfence لاحقًا بالتحقق من صحة التقرير وأكدت الاستغلال المقدم، وأرسلت التفاصيل الكاملة إلى البائع، Awesome Motive، في 14 نوفمبر.
بحلول 18 نوفمبر، أصدرت Awesome Motive الإصدار الثابت 1.9.2.2، مضيفًا فحوصات القدرات المناسبة وآليات الترخيص في وظائف AJAX المتأثرة.
بحسب موقع ووردبريس.org”https://wordpress.org/plugins/wpforms-lite/advanced/” الهدف=”_blank” rel=”nofollow noopener”> احصائيات، ما يقرب من نصف جميع المواقع التي تستخدم WPForms ليست حتى في أحدث إصدار (1.9.x)، وبالتالي فإن عدد مواقع الويب المعرضة للخطر لا يقل عن 3 ملايين.
لم يكتشف Wordfence استغلالًا نشطًا لـ CVE-2024-11205 في البرية حتى الآن، ولكن يوصى بالترقية إلى الإصدار 1.9.2.2 في أقرب وقت ممكن أو تعطيل المكون الإضافي من موقعك.