Több millió weboldal vált sebezhetővé egy hiba miatt

​A WPForms bővítmény sebezhetősége több millió WordPress alapú weboldal esetében jelent kockázatot.
 

Biztonsági szakértők minden olyan WordPress alapú webhely minél előbbi frissítésére buzdítanak, amelyeken működik a WPForms ingyenes vagy fizetős bővítmény. A kiegészítőben ugyanis egy veszélyes sérülékenységre derült fény, amely visszaélésekre, adatmanipulációkra ad lehetőséget.
 
A legfrissebb adatok szerint a WPForms nagyon komoly támadási felületet jelent, mivel jelenleg több mint hatmillió weboldal működésében kap kisebb nagyobb szerepet. A célja, hogy egyszerűen létrehozható webes űrlapokat biztosítson, amelyek akár Stripe, PayPal stb. integrációval is felruházhatók.
 
A WPForms sebezhetőségét egy biztonsági kutató jelezte a Wordfence hibavadász programján keresztül. A 2376 dolláros jutalommal járó felfedezés részleteit november 14-én a Wordfence megosztotta a fejlesztőkkel, akik négy napra rá tették elérhetővé a frissítést. Ennek köszönhetően az 1.9.2.2-es verzió már nem tartalmazza a biztonsági rést.
 
A sebezhetőséget a wpforms_is_admin_ajax() függvény tartalmazza. A kihasználásához ugyan szükség van előzetes authentikációra, de akár egy minimális jogokkal rendelkező (feliratkozói) fiók is elegendő ehhez. Ha pedig sikerül kiaknáznia a támadónak a hibában rejlő lehetőségeket, akkor egyebek mellett Stripe visszatérítéseket indíthat el jogosulatlanul vagy megszüntethet előfizetéseket, olyan függvények engedély nélküli használatával, mint amilyen az ajax_single_payment_refund() vagy az ajax_single_payment_cancel().