Вразливість плагіна WPForms для WordPress: Як атакувати можуть змінювати підписки та відновлювати гроші
Плагін WPForms для WordPress, який широко використовується на багатьох сайтах, був виявлений з серйозною вразливістю. Ця вразливість дозволяє зловмисникам змінювати підписки та відновлювати гроші.
"Виявлено вразливість у плагіні WPForms для WordPress, яка дозволяє несанкціоновану модифікацію даних через відсутність перевірки можливостей в функції 'wpforms_is_admin_page' в версіях від 1.8.4 до 1.9.2.1. Це робить можливим для аутентифікованих зловмисників, з доступом на рівні підписника і вище, відновлювати платежі та скасовувати підписки."
🚀 У цьому контексті важливо зрозуміти, що "відсутність перевірки можливостей" означає, що плагін не перевіряє, чи має користувач відповідні дозволи для здійснення змін за допомогою цієї функції. Це означає, що плагін дозволяє зловмисникам, які не мають достатніх привілеїв, змінювати дані. Зловмисники повинні мати хоча б права підписника, щоб запустити атаку. Це може стати причиною високого рівня серйозності цієї атаки, так як сайти, на яких користувачі платять за підписку, імовірно, мають користувачів з правами підписника.
- 📌 Виявлена вразливість у плагіні WPForms для WordPress, яка дозволяє несанкціоновану модифікацію даних.
- 📌 Плагін не перевіряє, чи має користувач достатні права для здійснення змін.
- 📌 Зловмисники можуть здійснювати атаку, маючи хоча б права підписника.
- 📌 Рекомендується оновити плагін WPForms до останньої версії.
This article was generated with the assistance of AI based on the referenced material, then manually reviewed and edited by the author for accuracy and usefulness.
https://www.searchenginejournal.com/wpforms-plugin-vulnerability-affects-up-to-6-million-sites/534920/
