WPForms是一个流行的WordPress表单生成器插件,其活跃安装量超过600万,该插件中发现的一个关键漏洞(CVE-2024-11205)使网站面临重大财务风险。该漏洞的 CVSS v3.1 基础分值为 8.5,允许拥有用户级或更高权限的经过验证的攻击者执行未经授权的 Stripe 付款退款和 Stripe 订阅取消。WPForms 是一款广泛使用的表单生成器插件,WordPress 网站所有者可以通过拖放界面创建联系表单、反馈表单、订阅表单和付款表单。问题出在插件的 SingleActionsHandler 类中的 ajax_single_payment_refund() 和 ajax_single_payment_cancel() 函数上。这些函数管理 Stripe 支付操作,并依赖 wpforms_is_admin_ajax() 函数来验证管理员 AJAX 请求。但是,该函数不执行能力检查,从而造成了严重的安全漏洞。尽管该漏洞受非密钥保护,但通过验证的攻击者仍可获取必要的非密钥,从而执行未经授权的操作。如果没有额外的验证,这些功能可被用于以下目的退还 Stripe 付款。取消使用中的 Stripe 订阅。这为依赖 WPForms 进行订阅和付款管理的企业带来了潜在的收入损失和运营中断。对于使用 WPForms 管理 Stripe 付款的企业,该漏洞可能导致未经授权的退款,导致收入损失。订阅服务中断,可能破坏客户关系。处理和逆转未授权行为的管理费用增加。CVE-2024-11205 漏洞影响 WPForms 1.8.4 至 1.9.2.1 版本。安全研究员 “villu164 ”通过 Wordfence Bug Bounty Program 发现并负责任地披露了该漏洞,并获得了 2376.00 美元的赏金。Wordfence 及时提醒了 WPForms 开发团队,该团队迅速解决了这一问题,并发布了 1.9.2.2 补丁版本。
