Una vulnerabilidad identificada en el complemento de formularios para WordPress, WPForms, puede permitir a los usuarios suscriptores de un sitio web llevar a cabo reembolsos de pagos efectuados mediante el 'plugin' de Stripe o cancelar suscripciones, debido a una falta de autorización del administrador.
El complemento WPForms se utiliza actualmente en más de seis millones de sitios web WordPress y permite generar formularios de forma sencilla para el tratamiento de información y solicitudes, como formularios de contacto, de pago o encuestas, entre otras opciones.
Se ha encontrado una vulnerabilidad de riesgo alto identificada como CVE-2024-11205 con la que, mediante el uso de WPForms, los usuarios suscriptores pueden reembolsarse pagos y cancelar suscripciones por cuenta propia, debido a un fallo en la verificación de autorización.
En concreto, WPForms es vulnerable a la modificación no autorizada de datos, ya que hay una falta de comprobación en la función 'wpforms_is_admin_page', tal y como se explicado la compañía de ciberseguridad especilizada en Wordpress Wordfence en su blog oficial.
La función 'wpforms_is_admin_page' se utiliza para verificar si la solicitud del formulario se envía desde una ruta de administración. Sin embargo, el fallo provoca que no se restrinja el acceso dependiendo de los permisos del usuario, en este caso, cualquier usuario autenticado y suscriptor.
Es decir, los actores maliciosos con una cuenta de usuario con categoría de suscriptor del sitio web pueden enviar un formulario generado mediante WPForms para solicitar el reembolso de un pago y, al no necesitar autorización debido a la vulnerabilidad en cuestión, el reembolso se acaba efectuando. Lo mismo ocurre con la cancelación de suscripciones de otros usuarios.
Según ha ejemplificado Bleeping Computer, los actores maliciosos podrían utilizar funciones AJAX -que permiten a las aplicaciones web validar información específica en formularios-, como 'ajax_single_payment_refund()' para ejecutar reembolsos en el complemento de pago Stripe, que es compatible con WPForms. Lo mismo ocurriría con la función 'ajax_single_payment_cancel()', con la que podrían cancelar suscripciones.
Todo ello se traduce en posibles consecuencias graves para los sitios web que utilicen WPForms, ya que pueden perder ingresos con los reembolsos o problemas con las suscripciones de los usuarios.
El problema, identificado por el investigador llamado 'vullu164', afecta concretamente al 'plugin' WPForms comprendido entre las versiones 1.8.4 y 1.9.2.1. Sin embargo, se ha lanzado un parche para solucionar la vulnerabilidad con la versión 1.9.2.2.
Aunque Wordfence no ha encontrado una explotación activa de esta vulnerabilidad, se recomienda a los sitios web que utilicen el complemento WPForms que lo actualicen a la última versión.
Últimas Noticias
La fotografía que confirma el apoyo incondicional de la Infanta Elena al emérito
En un restaurante de Madrid, la hija mayor de Juan Carlos I se mostró junto a autores, familiares y figuras públicas, en una cita que buscó afianzar la unidad familiar y contrarrestar el impacto social de la biografía recién presentada
Los talibán denuncian nuevos ataques lanzados desde Pakistán a territorio afgano
Irak emite órdenes de captura contra los responsables del ataque a un yacimiento gasístico
Las autoridades han identificado a los autores del atentado con drones en el Kurdistán iraquí, ordenando su arresto tras afirmar que se trata de “criminales”, mientras refuerzan la seguridad y advierten de nuevas regulaciones sobre el uso de aeronaves no tripuladas
Tom Brady, Wayne Gretzky, Aaron Judge y Shaquille O'Neal ayudarán en el sorteo de este viernes
El sorteo de la Copa Mundial 2026 en Washington promete un espectáculo único, con grandes figuras del deporte que impulsarán la ceremonia, la revelación de los grupos y la presencia de líderes de Estados Unidos, México y Canadá
Al menos cinco muertos, incluidos dos niños, en un ataque israelí en el sur de la Franja de Gaza
Una carpa que albergaba a familias que huían de la violencia fue alcanzada durante la noche junto a un hospital en Jan Yunis, lo que encendió la alarma internacional por la escalada pese al alto el fuego vigente
