El complemento WPForms para WordPress expone los sitios web a una vulnerabilidad que permite a los atacantes actualizar las suscripciones y emitir reembolsos. Esta falla permite a los atacantes modificar datos a los que normalmente no deberían tener acceso.
Verificación de capacidad faltante
La vulnerabilidad se debe a una falta de verificación de capacidad en una función dentro del complemento llamada wpforms_is_admin_page, lo que significa que el complemento no verifica los permisos apropiados del usuario que intenta realizar un cambio con esta función. Eso significa que el complemento permite que atacantes que carecen de privilegios suficientes modifiquen los datos.
Los atacantes deben adquirir al menos permisos de nivel de suscriptor para poder lanzar un ataque. Normalmente, este tipo de ataque no alcanza un nivel de gravedad tan alto. Pero puede deberse a que los sitios que tienen usuarios que pagan por una suscripción probablemente tengan usuarios de nivel de suscriptor. Esta puede ser la razón por la que el nivel de gravedad de este ataque autenticado es más alto que el general.
El anuncio de Wordfence lo explica así:
“El complemento WPForms para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función ‘wpforms_is_admin_page’ en versiones desde 1.8.4 hasta 1.9.2.1 inclusive. Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, reembolsen pagos y cancelen suscripciones”.
Se recomienda que los usuarios de las versiones del complemento WPForms desde las versiones 1.8.4 hasta la 1.9.2.1 incluida actualicen sus complementos.
Lea la alerta de seguridad de Wordfence:
WPForms 1.8.4 – 1.9.2.1 – Falta autorización para reembolso de pago autenticado (Suscriptor+) y cancelación de suscripción
Imagen destacada de Shutterstock/Tithi Luadthong
