WordPressで人気のプラグイン WPFormsで重大な脆弱性(CVE-2024-11205)
600万サイトで利用されているWordPressで人気のプラグイン WPFormsで重大な脆弱性(CVE-2024-11205)が発生しています。パッチはリリース済みなので対象者はアップデートする事をお勧めします。
脆弱性のバージョン
バージョン 1.8.4 – 1.9.2.1
対処法
1.9.2.2以上へアップデート
脆弱性 CVE-2024-11205の概要
‘wpforms_is_admin_page’ 関数の機能チェックが欠落しているため、データの不正変更に対して脆弱です。
この問題により、認証された攻撃者がこれらの AJAX アクションを呼び出して Stripe の支払いを返金したり、Stripe サブスクリプションをキャンセルしたりすることが可能になります。
上記からWPForms を使用してサブスクリプションを管理しているサイトで収益の損失が発生する可能性があります。