WordPress WPForms插件中的高危漏洞CVE-2024-11205

WPForms是非常适合初学者的WordPress联系表单插件， 由与WPBeginner相同团队构建，旨在提供简单又强大的WordPress表单插件。

WPForms的拖放式表单构建器使其成为WordPress最用户友好的表单插件，这就是为什么已有超过600万个网站使用它来创建表单的原因。

WPForms 是简单而强大的拖放式WordPress表单生成器，只需轻点鼠标就能创建联系表单、反馈表单、订阅表单、支付表单和其他表单。

一、基本情况

WPForms提供免费版WPForms Lite和高级版WPForms Pro两个版本，WPForms Lite即免费版本在官方WordPress插件目录中免费提供。

免费版具有所有基本联系表单功能，包括基本表单字段、用于阻止联系表单垃圾邮件的验证码、电子邮件通知及用于表单确认的感谢页面。

高级版允许用户扩展功能，因此用户可利用该插件构建任何类型的表单，例如多页表单、电子邮件订阅表单、高级付款表单、注册表单等。

WPForms与 Stripe、PayPal、Square和Authoriz等支付平台集成，用户可快速创建付款表单并接受一次性或定期付款而无需额外的费用。

栋科技漏洞库关注到WPForms插件漏洞，标记为CVE-2024-11205，缺少对已验证（订阅者+）付款退款和订阅取消授权，CVSS评分8.5。

二、漏洞分析

CVE-2024-11205是WPForms插件中存在的一个高危漏洞，漏洞影响版本包括WPForms 1.8.4至1.9.2.1，修复版本1.9.2.2已于上月发布。

该漏洞源于对'wpforms_is_admin_ajax()'函数的不当使用，导致任何经过身份验证的用户，包括普通订阅者都可以调用敏感的AJAX函数，

如'ajax_single_payment_refund()'和'ajax_single_payment_cancel()'等函数，导致退款执行和取消订阅操作，给网站所有者造成财产损失。

网络安全研究人员vullu164于2024年11月08日通过Wordfence的漏洞奖励计划报告了CVE-2024-11205漏洞的存在，获得2376美元的奖励。

Wordfence随后确认漏洞的存在，并将详细信息提供给插件开发商Awesome Motive，后者于2024年11月发布WPForms 1.9.2.2修复版本。

据WordPress官方数据，目前仍有一半使用WPForms的网站尚未更新到最新版本，这意味着目前至少有300万个网站仍处于易受攻击状态。

尽管Wordfence目前尚未检测到该漏洞的实际利用，但建议用户尽快升级到1.9.2.2版本或禁用该插件，以防止潜在的财务损失和业务中断。

三、影响范围

1.8.4 >= WPForms <=1.9.2.1

四、修复建议

WPForms >= 1.9.2.2

五、参考链接

此处内容已隐藏，评论后刷新即可查看！