פגם גדול התגלה ב-WPForms, תוסף ליצירת טפסים של וורדפרס המשמש מיליוני אתרים. על ידי ניצול פגיעות זו, משתמש אינטרנט יכול לקבל החזר עבור הרכישות המקוונות שלו... למרות שתיקון נפרס במהירות, מיליוני אתרים נותרו מושפעים.
התגלתה פגיעות בWPForms, תוסף וורדפרס המשמש יותר משישה מיליון אתרים. כפי שדווח על ידי עמיתינו ב- Bleeping Computer, הפרצה התגלתה על ידי חוקר אבטחה שקורא לעצמו villu164 בסוף אוקטובר. לאחר מכן הזהיר החוקר את הצוות לעשות זאתWordFence, תוסף אבטחה לוורדפרס. בתמורה לגילוי שלו, הוא קיבל פרס של 2,376 דולר כמה ימים לאחר מכן.
קרא גם:
החזרים לא מורשים
זמין בגרסה בתשלום או בחינם עם הגבלות, התוסף מאפשר לך ליצור בקלותטפסים מותאמים אישיתעבור אתרי וורדפרס. ניתן לעצב טפסי יצירת קשר, טפסי משוב, טפסי הרשמה וטפסי תשלום. זה תואם למספר מנהלי תשלומים מקוונים, כולל PayPal ו-Stripe.
על ידי ניצול הפגם, סביר שמשתמש אינטרנט יעשה זאתלהנפיק החזר על Stripeללא הסכמת מנהלי האתר. דה פקטו, צרכן יכול לקבל החזר בחנות מקוונת לאחר ביצוע הזמנה.
"פגיעות זו מאפשרת למשתמשים זדוניים מאומתים, עם זכויות מנוי ומעלה, להחזיר תשלומי Stripe ולבטל מנויי Stripe, למרות שאסור להם להיות בעלי הרשאה מסוג זה", מדגיש את WordFence בדוח שלה.
יתר על כן, המשתמש יכוללבטל מנויבאופן שרירותי. ברור שזה דרמטי עבור כל בעלי האתרים. הפגיעות למעשה מסכנת את הכנסתם.
התקלה היא בפונקציה שנועדה לבדוק האם בקשה מגיעה מדף או נתיב ניהולי (לדוגמה, לוח המחוונים של וורדפרס). עם זאת, הוא אינו בודק את ההרשאות של המשתמש המגיש את הבקשה. במילים אחרות, הוא אינו מבטיח שלמשתמש המוציא את הבקשה יש את הזכויות הדרושות לגישה לנתונים אלו או לפעולות אלו. בסופו של דבר, כל משתמש יכול להנפיק פקודות השמורות למנהלי מערכת.
תיקון נפרס
גרסאות 1.8.4 ועד 1.9.2.1 של התוסף מושפעות. כדי לתקן את המצב, המפתחים של Awesome Motive, הקבוצה מאחורי WPForms, שילבו תיקון בתוךעדכון תוסף 1.9.2.2.
WordFence לעודד"משתמשי וורדפרס לאמת שהאתרים שלהם מעודכנים בגירסת התיקון האחרונה של WPForms בהקדם האפשרי לאור האופי הקריטי של הפגיעות הזו". בהתבסס על סטטיסטיקות וורדפרס, יותר משלושה מיליון אתרים עדיין פגיעים.
זו רחוקה מלהיות הפעם הראשונה שפגם בתוסף וורדפרס פופולרי מסכן מיליוני אתרים. בחודש שעבר,, תוסף וורדפרס ממוקד אבטחה, אפשר לתוקף מרוחק לקבל גישת מנהל מלאה ליותר מ-4 מיליון אתרים. כמה חודשים קודם לכן,אפילו גרם לאלפי אתרים להיפרץ.
🔴 כדי לא לפספס שום חדשות 01net, עקבו אחרינוחדשות גוגלetוואטסאפ.
מקור: מחשב מצמרר
