Un fallo en el complemento WPForms de WordPress permite a usuarios suscritos reembolsar pagos y cancelar suscripciones

Una vulnerabilidad identificada en el complemento de formularios para WordPress, WPForms, puede permitir a los usuarios suscriptores de un sitio web llevar a cabo reembolsos de pagos efectuados mediante el 'plugin' de Stripe o cancelar suscripciones, debido a una falta de autorización del administrador.

El complemento WPForms se utiliza actualmente en más de seis millones de sitios web WordPress y permite generar formularios de forma sencilla para el tratamiento de información y solicitudes, como formularios de contacto, de pago o encuestas, entre otras opciones.

Se ha encontrado una vulnerabilidad de riesgo alto identificada como CVE-2024-11205 con la que, mediante el uso de WPForms, los usuarios suscriptores pueden reembolsarse pagos y cancelar suscripciones por cuenta propia, debido a un fallo en la verificación de autorización.

En concreto, WPForms es vulnerable a la modificación no autorizada de datos, ya que hay una falta de comprobación en la función 'wpforms_is_admin_page', tal y como se explicado la compañía de ciberseguridad especilizada en Wordpress Wordfence en su blog oficial.

La función 'wpforms_is_admin_page' se utiliza para verificar si la solicitud del formulario se envía desde una ruta de administración. Sin embargo, el fallo provoca que no se restrinja el acceso dependiendo de los permisos del usuario, en este caso, cualquier usuario autenticado y suscriptor.

Es decir, los actores maliciosos con una cuenta de usuario con categoría de suscriptor del sitio web pueden enviar un formulario generado mediante WPForms para solicitar el reembolso de un pago y, al no necesitar autorización debido a la vulnerabilidad en cuestión, el reembolso se acaba efectuando. Lo mismo ocurre con la cancelación de suscripciones de otros usuarios.

Según ha ejemplificado Bleeping Computer, los actores maliciosos podrían utilizar funciones AJAX -que permiten a las aplicaciones web validar información específica en formularios-, como 'ajax_single_payment_refund()' para ejecutar reembolsos en el complemento de pago Stripe, que es compatible con WPForms. Lo mismo ocurriría con la función 'ajax_single_payment_cancel()', con la que podrían cancelar suscripciones.

Todo ello se traduce en posibles consecuencias graves para los sitios web que utilicen WPForms, ya que pueden perder ingresos con los reembolsos o problemas con las suscripciones de los usuarios.

El problema, identificado por el investigador llamado 'vullu164', afecta concretamente al 'plugin' WPForms comprendido entre las versiones 1.8.4 y 1.9.2.1. Sin embargo, se ha lanzado un parche para solucionar la vulnerabilidad con la versión 1.9.2.2.

Aunque Wordfence no ha encontrado una explotación activa de esta vulnerabilidad, se recomienda a los sitios web que utilicen el complemento WPForms que lo actualicen a la última versión.