Falla di sicurezza in WPForms: milioni di siti WordPress a rischio

Una grave vulnerabilità 6 milioni di siti web WordPress CVE-2024-11205

Il problema interessa le versioni di WPForms dalla 1.8.4 fino alla 1.9.2.1 1.9.2.2 novembre 2024 Stripe, PayPal e Square

Il bug è stato scoperto dal ricercatore di sicurezza "vullu164 Bug Bounty di Wordfence 2.376 dollari l’8 novembre 2024 AJAX

Da cosa deriva la falla di sicurezza?

La falla deriva da un uso improprio della funzione "wpforms_is_admin_ajax()", che verifica l’origine delle richieste AJAX ma non controlla adeguatamente i permessi dell’utente. Questo consente a chiunque con un account registrato sul sito, anche con privilegi minimi, di eseguire azioni riservate come i rimborsi o la cancellazione di pagamenti.

Nonostante la soluzione sia già disponibile, si stima che più della metà dei siti che utilizzano WPForms non abbia ancora aggiornato il plugin. Questo lascia vulnerabili oltre 3 milioni di siti web, con il rischio di perdite economiche e danni alla reputazione.

Sebbene al momento non siano stati rilevati attacchi attivi, è fondamentale aggiornare immediatamente WPForms alla versione 1.9.2.2 o, in alternativa, disattivare temporaneamente il plugin per garantire la sicurezza del proprio sito web.