Uma falha de segurança no WPForms, um plugin do WordPress usado em mais de 6 milhões de sites, encontra-se a ser usada para permitir cancelamentos e reembolsos de pagamentos feitos via o plugin e o sistema do Stripe.
A falha CVE-2024-11205 foi classificada como sendo de alta gravidade, sobretudo porque pode ser usada em qualquer site que tenha um sistema de subscrição, e onde os utilizadores se registem.
A falha afeta as versões entre a 1.8.4 e 1.9.2.1 do WPForms, sendo que o patch foi lançado na versão 1.9.2.2, que chegou o mês passado. Porém, a falha apenas hoje foi confirmada publicamente pelos investigadores de segurança.
O WPForms permite que os utilizadores criem rapidamente formulários de contactos, pagamentos e feedback, em sites WordPress, usando uma interface simples e intuitiva. O sistema do plugin oferece ainda formas de os utilizadores realizarem pagamentos via PayPal, Stripe, Square e outras plataformas.
O plugin encontra-se disponível numa variante gratuita e Pro, que conta com mais funcionalidades. Porém a falha afeta ambas as versões, sendo que a versão gratuita é usada em mais de seis milhões de sites WordPress, de acordo com os dados oficiais do plugin.
A falha foi descoberta pelo investigador de segurança “vullu164”, via o programa de bug bounty do WordFence. O investigador reportou a falha a 8 de Novembro de 2024, tendo recebido 2376 dólares por tal. A falha foi reportada aos criadores do plugin a 14 de Novembro, depois de validada pela WordFence.
Os utilizadores que tenham este plugin recomenda-se que verifiquem se o mesmo está atualizado para a sua versão mais recente, de forma a evitar a exploração da falha e dos possíveis impactos da mesma.
Nenhum comentário
Seja o primeiro!