Falla di sicurezza in WPForms: milioni di siti WordPress a rischio

Una grave vulnerabilità è stata recentemente individuata nel plugin WPForms, utilizzato da oltre 6 milioni di siti web basati su WordPress. La falla, identificata come CVE-2024-11205, consente a utenti con un semplice ruolo di "iscritto" di eseguire operazioni non autorizzate come rimborsi tramite Stripe o la cancellazione di abbonamenti attivi.

Il problema interessa le versioni di WPForms dalla 1.8.4 fino alla 1.9.2.1, ma è stato risolto con l’aggiornamento alla versione 1.9.2.2, rilasciata a novembre 2024. WPForms, un plugin estremamente popolare, è noto per la sua facilità d’uso nel creare moduli di contatto, feedback, iscrizione e pagamento, grazie alla funzionalità drag-and-drop e alla compatibilità con piattaforme di pagamento come Stripe, PayPal e Square.

Il bug è stato scoperto dal ricercatore di sicurezza "vullu164", che l’ha segnalato tramite il programma Bug Bounty di Wordfence, ottenendo una ricompensa di 2.376 dollari l’8 novembre 2024. Wordfence ha confermato la vulnerabilità e notificato immediatamente gli sviluppatori di WPForms, Awesome Motive, i quali hanno risposto prontamente rilasciando la versione corretta entro il 18 novembre. Questa nuova versione include controlli più stringenti sulle autorizzazioni richieste per le funzioni AJAX sensibili.

Da cosa deriva la falla di sicurezza?

La falla deriva da un uso improprio della funzione "wpforms_is_admin_ajax()", che verifica l’origine delle richieste AJAX ma non controlla adeguatamente i permessi dell’utente. Questo consente a chiunque con un account registrato sul sito, anche con privilegi minimi, di eseguire azioni riservate come i rimborsi o la cancellazione di pagamenti.

Nonostante la soluzione sia già disponibile, si stima che più della metà dei siti che utilizzano WPForms non abbia ancora aggiornato il plugin. Questo lascia vulnerabili oltre 3 milioni di siti web, con il rischio di perdite economiche e danni alla reputazione.

Sebbene al momento non siano stati rilevati attacchi attivi, è fondamentale aggiornare immediatamente WPForms alla versione 1.9.2.2 o, in alternativa, disattivare temporaneamente il plugin per garantire la sicurezza del proprio sito web.