【安全资讯】WPForms漏洞导致数百万WordPress网站Stripe退款风险

概要：

WPForms插件的一个高危漏洞可能导致数百万WordPress网站的用户被允许随意发起Stripe退款或取消订阅。这一漏洞被标记为CVE-2024-11205，影响了超过600万个网站，给网站所有者带来了潜在的财务损失和信任危机。

主要内容：

WPForms是一个广泛使用的WordPress表单构建插件，支持Stripe等支付方式。该漏洞源于对'wpforms_is_admin_ajax()'函数的不当使用，导致任何经过身份验证的用户，包括普通订阅者，都可以调用敏感的AJAX函数，如'ajax_single_payment_refund()'和'ajax_single_payment_cancel()'，从而执行退款和取消订阅操作。

漏洞影响的版本包括WPForms 1.8.4至1.9.2.1，修复版本1.9.2.2已于上月发布。安全研究员'vullu164'于2024年11月8日向Wordfence的漏洞奖励计划报告了该问题，并获得了2376美元的奖励。Wordfence随后确认了漏洞的存在，并将详细信息提供给了插件开发商Awesome Motive。

根据wordpress.org的统计，约有一半使用WPForms的网站并未更新到最新版本，这意味着至少有300万个网站仍然处于易受攻击状态。尽管Wordfence尚未检测到该漏洞的实际利用，但建议用户尽快升级到1.9.2.2版本或禁用该插件，以防止潜在的财务损失和业务中断。