Se ha identificado una vulnerabilidad en WPForms, un plugin popular para WordPress utilizado para crear formularios de contacto, encuestas y formularios de pago. Este fallo podría permitir a atacantes autenticados con permisos mínimos realizar reembolsos de pagos y cancelar suscripciones sin autorización, afectando la gestión de transacciones en los sitios web afectados.
- CVE-2024-11205 (CVSS 8.5): Esta vulnerabilidad se encuentra en la función wpforms_is_admin_page debido a la ausencia de verificaciones de autorización. Esto permite que usuarios autenticados con permisos de nivel Suscriptor o superior manipulen datos sensibles relacionados con pagos y suscripciones sin autorización.
Productos y versiones afectadas:
- Desde la versión 1.8.4 hasta la 1.9.2.1 del plugin WPForms.
Solución:
- Actualizar a la versión 1.9.2.2 o posterior.
Recomendaciones:
- Actualizar el plugin WPForms a la última versión disponible para garantizar la protección contra esta vulnerabilidad.
- Limitar los permisos de los usuarios autenticados al nivel mínimo necesario para sus funciones.
- Monitorear y auditar regularmente las actividades relacionadas con pagos y suscripciones en sitios que utilicen el plugin.
Referencias: