מיליוני אתרים חשופים לנזק כלכלי בגלל חולשה בתוסף וורדפרס

תשלום באשראי. אילוסטרציה – kindel media, pexels

באג בתוסף WPForms הפופולרי ל-WordPress אפשר לתוקפים לגרום לכפות על אתרים לבצעי החזרי תשלומים וביטול של מנויים בתשלום, כך דווח במאגר החולשות הלאומי האמריקאי NIST. מדובר בגירסות 1.8.4 עד 1.9.2.1 של התוסף, המאפשר הוספת טפסים בממשק גרפי פשוט לאתרים מבוססי וורדפרס.

על פי דיווחים שונים, שישה מיליון אתרים מושפעים מהפגיעות, וספציפית כאלה שנעזרים בשירות Stripe הפופולרי כדי לסלוק כספים מלקוחות. חולשת האבטחה עלולה להסב למפעילי האתרים הללו נזקים כלכליים כבדים, אם התוקפים ינצלו אותה.

בתוסף ישנה פונקציה פגיעה בשם wpforms_is_admin_ajax שאמורה לבדוק אם מי שמריץ את הפונקציות האחרות הוא אדמין, אבל בגירסה הפגיעה היא לא עובדת כהלכה. היא למעשה מאפשרת לכל מי שנרשם לאתר דרך המערכת של וורדפרס – פעולה דורשת רק כתובת מייל – להריץ את הפונקציות האחרות – ajax_single_payment_refund ו-ajax_single_payment_cancel ללא הרשאה מתאימה.

התיקון לחולשה זמין כבר כמעט חודש בגרסה 1.9.2.2 שאפשר לשדרג אליה, כך לפי WordFence העוסקת בהגנה על אתרי וורדפרס. כמו כן מומלץ לבדוק את רשימת ההרשאות במערכת דרך ממשק הניהול של וורדפרס ושל התוספים השונים, ולוודא שרק מי שנמצא בדרגה הרצויה יוכל לבצע פעולות. נכון לעכשיו, Wordfence לא זיהתה מקרים של ניצול החולשה או אתרים שנפגעו, אבל ההערכה היא כי שלושה מיליון אתרים עדיין לא עדכנו לגרסה האחרונה ולפיכך הם פגיעים.