Você já ouviu falar de um bug no WPForms? Esse plugin é usado em mais de 6 milhões de sites WordPress. Infelizmente, ele possui uma falha que permite que usuários com nível de assinatura façam reembolsos ou cancelem assinaturas, colocando sua receita e confiança em risco. Vou te contar tudo sobre essa vulnerabilidade, como foi descoberta e por que é tão importante atualizar seu plugin!
WPForms Bug Permite Reembolsos no Stripe em Milhões de Sites WordPress
Um bug no WPForms, um plugin popular do WordPress, está causando alvoroço! Esse problema permite que usuários com nível de assinante emitam reembolsos arbitrários no Stripe ou cancelem assinaturas, afetando mais de 6 milhões de sites. Vamos entender melhor o que está acontecendo.
O Que É o WPForms?
O WPForms é um construtor de formulários fácil de usar que permite criar formulários de contato, feedback, assinatura e pagamento. Ele é amplamente utilizado devido à sua interface de arrastar e soltar e oferece suporte para plataformas de pagamento como Stripe, PayPal, Square, entre outras. O plugin está disponível em duas versões: a premium (WPForms Pro) e a gratuita (WPForms Lite), sendo que a versão Lite está ativa em mais de seis milhões de sites WordPress.
O Problema do Bug
Detalhes do Bug
O problema foi rastreado sob o código CVE-2024-11205 e classificado como de alta gravidade. O bug foi causado por uma utilização inadequada da função wpformsisadmin_ajax(), que deveria verificar se uma solicitação é uma chamada AJAX de administrador. No entanto, essa função não faz as verificações necessárias para restringir o acesso com base nas permissões do usuário.
Como Isso Acontece?
Isso significa que qualquer usuário autenticado, até mesmo aqueles com nível de assinante, pode invocar funções sensíveis como ajaxsinglepaymentrefund() (que executa reembolsos no Stripe) e ajaxsinglepaymentcancel() (que cancela assinaturas). O resultado é um perigo para os proprietários de sites, com consequências que podem incluir perda de receita, interrupção nos negócios e problemas de confiança com os clientes.
A Descoberta do Bug
O bug foi descoberto pelo pesquisador de segurança vullu164, que reportou o problema ao programa de recompensas de bugs da Wordfence. Ele recebeu uma recompensa de $2.376 por sua descoberta em 8 de novembro de 2024. A Wordfence validou o relatório e confirmou o exploit, enviando todos os detalhes para o fornecedor, Awesome Motive, em 14 de novembro.
A Correção
A correção para esse problema foi lançada na versão 1.9.2.2 do WPForms, disponibilizada em 18 de novembro. Essa atualização adicionou as verificações de capacidade e mecanismos de autorização nas funções AJAX afetadas. No entanto, cerca de metade dos sites que usam o WPForms ainda não estão na versão mais recente, o que significa que pelo menos 3 milhões de sites permanecem vulneráveis.
Se você deseja aprender mais sobre Segurança e Investigação, recomendamos conferir o cursos disponiveis da Foco em SEC.
A Importância da Atualização
Embora a Wordfence não tenha detectado exploração ativa do CVE-2024-11205 até agora, é altamente recomendado que você atualize para a versão 1.9.2.2 o mais rápido possível ou desative o plugin em seu site.
Tabela Resumo do Bug
| Aspecto | Detalhes |
|---|---|
| Plugin | WPForms |
| Versões Afetadas | 1.8.4 a 1.9.2.1 |
| Versão Corrigida | 1.9.2.2 |
| CVE | CVE-2024-11205 |
| Número de Sites Afetados | Mais de 3 milhões |
| Consequências | Reembolsos não autorizados, cancelamento de assinaturas |
| Descoberta | Pesquisador vullu164 |
| Recompensa | $2,376 |
| Data do Relato | 8 de novembro de 2024 |
| Data da Correção | 18 de novembro de 2024 |
O Que Fazer Agora?
Se você é um usuário do WPForms, a melhor prática é:
- Atualize seu plugin para a versão mais recente (1.9.2.2).
- Desative o plugin se não puder atualizar imediatamente.
- Verifique se outros plugins que você usa têm vulnerabilidades conhecidas.
Questões Não Resolvidas
Um aspecto preocupante é que o changelog da versão 1.9.2.2 não menciona a correção de uma vulnerabilidade de segurança. Isso é algo que Awesome Motive deve abordar. É fundamental que as correções de segurança sejam divulgadas para que outros possam verificar se as mudanças são completas.
Além disso, o revisor de segurança da equipe de revisão de plugins do WordPress é um funcionário da Awesome Motive, levantando questões sobre a imparcialidade e a eficácia das revisões de segurança.
Conclusão
Em resumo, o bug no WPForms é um alerta vermelho para todos os usuários desse plugin. Com mais de 6 milhões de sites em risco, é crucial que você atualize seu plugin para a versão 1.9.2.2 o mais rápido possível. Ignorar essa atualização pode custar caro, tanto em termos de receita quanto de confiança dos seus clientes. Então, não deixe para amanhã o que você pode fazer hoje! Mantenha seu site seguro e livre de vulnerabilidades. E se você quer se manter informado sobre mais dicas e atualizações, não hesite em visitar o nosso blog em Foco em Segurança. Vamos juntos proteger o que é seu!