Una grave vulnerabilità 6 milioni di siti web WordPress CVE-2024-11205
Il problema interessa le versioni di WPForms dalla 1.8.4 fino alla 1.9.2.1 1.9.2.2 novembre 2024 Stripe, PayPal e Square
Il bug è stato scoperto dal ricercatore di sicurezza "vullu164 Bug Bounty di Wordfence 2.376 dollari l’8 novembre 2024 AJAX
Da cosa deriva la falla di sicurezza?
La falla deriva da un uso improprio della funzione "wpforms_is_admin_ajax()", che verifica l’origine delle richieste AJAX ma non controlla adeguatamente i permessi dell’utente. Questo consente a chiunque con un account registrato sul sito, anche con privilegi minimi, di eseguire azioni riservate come i rimborsi o la cancellazione di pagamenti.
Nonostante la soluzione sia già disponibile, si stima che più della metà dei siti che utilizzano WPForms non abbia ancora aggiornato il plugin. Questo lascia vulnerabili oltre 3 milioni di siti web, con il rischio di perdite economiche e danni alla reputazione.
Sebbene al momento non siano stati rilevati attacchi attivi, è fondamentale aggiornare immediatamente WPForms alla versione 1.9.2.2 o, in alternativa, disattivare temporaneamente il plugin per garantire la sicurezza del proprio sito web.
Se vuoi aggiornamenti su su questo argomento inserisci la tua email nel box qui sotto:
Compilando il presente form acconsento a ricevere le informazioni relative ai servizi di cui alla presente pagina ai sensi dell'informativa sulla privacy