Una vulnerabilidad identificada en el complemento de formularios para WordPress, WPForms, puede permitir a los usuarios suscriptores de un sitio web llevar a cabo reembolsos de pagos efectuados mediante el 'plugin' de Stripe o cancelar suscripciones, debido a una falta de autorización del administrador.
El complemento WPForms se utiliza actualmente en más de seis millones de sitios web WordPress y permite generar formularios de forma sencilla para el tratamiento de información y solicitudes, como formularios de contacto, de pago o encuestas, entre otras opciones.
Se ha encontrado una vulnerabilidad de riesgo alto identificada como CVE-2024-11205 con la que, mediante el uso de WPForms, los usuarios suscriptores pueden reembolsarse pagos y cancelar suscripciones por cuenta propia, debido a un fallo en la verificación de autorización.
En concreto, WPForms es vulnerable a la modificación no autorizada de datos, ya que hay una falta de comprobación en la función 'wpforms_is_admin_page', tal y como se explicado la compañía de ciberseguridad especilizada en Wordpress Wordfence en su blog oficial.
La función 'wpforms_is_admin_page' se utiliza para verificar si la solicitud del formulario se envía desde una ruta de administración. Sin embargo, el fallo provoca que no se restrinja el acceso dependiendo de los permisos del usuario, en este caso, cualquier usuario autenticado y suscriptor.
Es decir, los actores maliciosos con una cuenta de usuario con categoría de suscriptor del sitio web pueden enviar un formulario generado mediante WPForms para solicitar el reembolso de un pago y, al no necesitar autorización debido a la vulnerabilidad en cuestión, el reembolso se acaba efectuando. Lo mismo ocurre con la cancelación de suscripciones de otros usuarios.
Según ha ejemplificado Bleeping Computer, los actores maliciosos podrían utilizar funciones AJAX -que permiten a las aplicaciones web validar información específica en formularios-, como 'ajax_single_payment_refund()' para ejecutar reembolsos en el complemento de pago Stripe, que es compatible con WPForms. Lo mismo ocurriría con la función 'ajax_single_payment_cancel()', con la que podrían cancelar suscripciones.
Todo ello se traduce en posibles consecuencias graves para los sitios web que utilicen WPForms, ya que pueden perder ingresos con los reembolsos o problemas con las suscripciones de los usuarios.
El problema, identificado por el investigador llamado 'vullu164', afecta concretamente al 'plugin' WPForms comprendido entre las versiones 1.8.4 y 1.9.2.1. Sin embargo, se ha lanzado un parche para solucionar la vulnerabilidad con la versión 1.9.2.2.
Aunque Wordfence no ha encontrado una explotación activa de esta vulnerabilidad, se recomienda a los sitios web que utilicen el complemento WPForms que lo actualicen a la última versión.
Últimas Noticias
Fernando Martínez de Irujo desvela cómo se encuentra de salud
Después de varios meses enfrentando una dura batalla contra el cáncer y siguiendo un tratamiento médico, el hijo menor de la duquesa de Alba asegura que la enfermedad ha remitido y se siente notablemente mejor, según confirmó públicamente
Los demócratas de la Cámara de Representantes de EEUU presentan resoluciones contra una guerra en Venezuela
Legisladores estadounidenses impulsan medidas que buscan restringir el despliegue militar en Sudamérica, mientras se intensifican las tensiones tras la declaración del Gobierno de Venezuela como grupo terrorista y en vísperas de un mensaje clave del presidente Trump a la nación
Los españoles Martín Landaluce y Rafael Jódar empiezan las Next Gen ATP Finals de forma dispar
En Yeda, Martín Landaluce sucumbió frente a Nicolai Budkov Kjaer y Rafael Jódar superó a Learner Tien tras salvar cuatro puntos de partido, mostrando fortunas opuestas al inicio del torneo que reúne a promesas menores de 20 años
Un tribunal de apelaciones de EEUU autoriza el despliegue de la Guardia Nacional en Washington DC
Tras la decisión del tribunal, la presencia militar en la capital estadounidense continuará mientras se revisan las competencias federales y estatales sobre estas operaciones, en medio de tensiones por la seguridad y disputas entre el gobierno y autoridades locales
Guterres aborda con Maduro "las tensiones actuales en la región" y pide moderación en aras de la estabilidad
Tras una conversación telefónica, el líder de Naciones Unidas instó a actuar con responsabilidad y apego al derecho internacional frente a la escalada de amenazas, mientras Caracas alertó sobre los riesgos para la paz regional tras recientes medidas de Washington
