CVE-2024-11205: WPForms Plugin Vulnerability Impacts 6 Million WordPress Sites
2024/12/09 SecurityOnline — WordPress のフォーム・ビルダー・プラグイン WPForms に存在する、脆弱性 CVE-2024-11205 ( CVSS v3.1:8.5) により、各種の Web サイトが深刻な財務リスクにさらされている。600 万以上のインストール数を誇る人気の WPForms だが、この脆弱性の悪用に成功した、サブスクライバー以上の権限を持つ認証済みの攻撃者により、Stripe 決済の不正な払い戻しや、Stripe サブスクリプションのキャンセルが、実行される可能性が生じるという。
WPForms は広く使用されているフォーム作成プラグインであり、WordPress サイトのオーナーによる、問い合わせ/フィードバック/サブスク/ペイメントなどのフォームの作成を、支援するものだ。
この脆弱性 CVE-2024-11205 は、プラグインの SingleActionsHandler クラス内の ajax_single_payment_refund()/ajax_single_payment_cancel() 関数に存在する。これらの関数は、Stripe の支払いアクションを管理し、管理者の AJAX リクエストを検証するために、wpforms_is_admin_ajax() 関数に依存している。しかし、この関数は機能チェックを強制しないため、重大なセキュリティ上の欠陥が生じている。
この脆弱性により、認証済みの攻撃者が必要な nonce を取得し、不正なアクションを実行する可能性が生じる。なんらかの検証が追加されない場合には、以下のような悪用が発生する恐れがある。
- Stripe 支払いの不正な払い戻し。
- 有効な Stripe サブスクのキャンセル。
それにより、WPForms を用いてサブスク/ペイメントを管理している企業には、収益損失や業務中断のリスクに直面する可能性が生じる。
つまり、WPForms を使用して Stripe 決済を管理している企業にとっては、この脆弱性により、以下のような結果が引き起こされる可能性がある。
- 不正な返金による、収益の損失。
- サブスク・サービスの混乱による、顧客との関係の悪化。
- 不正な操作への対応や復旧に伴う、管理コストの増加。
脆弱性 CVE-2024-11205 の影響の範囲は、WPForms バージョン 1.8.4~1.9.2.1 である。セキュリティ研究者 villu164 は、Wordfence のバグ報奨金プログラムを通じて脆弱性を特定/開示し、$2,376.00 の報奨金を受け取った。Wordfence から WPForms 開発チームへと、速やかに警告が伝達され、すでに修正版 1.9.2.2 がリリースされている。すべてのユーザーに対して強く推奨されるのは、このバージョンへと迅速に更新することである。
この記事を読むと、WPForms が極めて重要な役割を果たしていることが分かります。特に、サブスク/ペイメントを管理している組織にとっては、重要かつ不可欠なプラグインとなっています。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.