Una reciente vulnerabilidad en el popular plugin de WordPress WPForms ha puesto en riesgo a más de 6 Una reciente vulnerabilidad en el popular plugin de WordPress WPForms ha puesto en riesgo a más de 6 millones de sitios web. Identificada como CVE-2024-11205, esta falla permite que usuarios autenticados con permisos de nivel suscriptor puedan emitir reembolsos arbitrarios en Stripe o cancelar suscripciones sin autorización. La vulnerabilidad afecta las versiones desde la 1.8.4 hasta la 1.9.2.1 de WPForms, siendo corregida en la versión 1.9.2.2.
Detalles técnicos de la vulnerabilidad
El problema radica en el uso indebido de la función wpforms_is_admin_ajax() para determinar si una solicitud proviene de una ruta de administrador. Aunque la función verifica si el origen de la solicitud corresponde a una ruta administrativa, no implementa controles de capacidades que limiten el acceso según el rol o los permisos del usuario.
Como resultado, cualquier usuario autenticado, incluso con permisos mínimos como suscriptor, puede invocar funciones AJAX sensibles como:
ajax_single_payment_refund()para realizar reembolsos en Stripe.ajax_single_payment_cancel()para cancelar suscripciones.
Los efectos potenciales de la explotación incluyen pérdida de ingresos, interrupción del negocio y deterioro de la confianza de los clientes.
Para más detalles técnicos sobre esta vulnerabilidad, puedes consultar el informe del INCIBE sobre el CVE-2024-11205.
¿Está tu web protegida?
Según las estadísticas de WordPress.org, casi la mitad de los sitios que utilizan WPForms no están actualizados a la versión segura (1.9.2.2), lo que deja a más de 3 millones de webs vulnerables. Aunque no se ha detectado explotación activa de esta vulnerabilidad, es fundamental actualizar el plugin de inmediato.
Si no puedes actualizar WPForms por algún motivo, deshabilita temporalmente el plugin para mitigar riesgos. También puedes obtener información adicional sobre este problema en la base de datos NVD y en Wordfence. La información original fue publicada en Bleeping Computer.
Protege tu web con SeguridadWP
En SeguridadWP, nos especializamos en seguridad, soporte y mantenimiento de páginas WordPress. Este tipo de vulnerabilidades refuerzan la importancia de contar con un servicio profesional que monitorice y actualice tu sitio web de forma regular. ¿Tienes dudas sobre la seguridad de tu web? Contáctanos y deja que nuestro equipo de expertos te ayude a blindar tu sitio contra amenazas.
Nuestra experiencia incluye:
- Auditorías de seguridad.
- Actualizaciones regulares de plugins y temas.
- Monitoreo continuo para prevenir ataques.
- Soluciones personalizadas de seguridad.
No esperes a que sea tarde. Contacta con nosotros hoy mismo para proteger tu web y garantizar su correcto funcionamiento.