WordPress’in popüler eklentisi WPForms, milyonlarca siteyi etkileyen kritik bir güvenlik açığı ile gündemde. CVE-2024-11205 koduyla izlenen bu açık, düşük seviyeli kullanıcıların bile Stripe iade işlemleri yapmasına veya abonelikleri iptal etmesine olanak tanıyor.
Hangi Sürümler Etkilendi?
Bu güvenlik açığı, WPForms eklentisinin 1.8.4 ile 1.9.2.1 sürümleri arasında bulunan tüm versiyonlarını etkiliyor. Ancak geliştirici şirket Awesome Motive, 1.9.2.2 sürümünde bu açığı kapatarak gerekli yamayı yayınladı.
WPForms, kullanıcı dostu bir sürükle-bırak form oluşturucu olarak, ödeme formları da dahil olmak üzere farklı amaçlar için kullanılıyor. Stripe, PayPal ve Square gibi ödeme sağlayıcıları ile entegre çalışabilen bu eklenti, ücretsiz WPForms Lite sürümü sayesinde 6 milyonun üzerinde WordPress sitesinde aktif durumda.
Güvenlik Açığı Nasıl Çalışıyor?
Sorunun kaynağı, wpforms_is_admin_ajax() fonksiyonunun doğru şekilde yetki kontrolleri yapmamasından kaynaklanıyor. Bu açık, herhangi bir kayıtlı kullanıcının aşağıdaki işlemleri yapmasına izin veriyor:
- Stripe iade işlemi başlatma,
- Abonelik iptal etme
Bu durum, işletmeler için ciddi finansal kayıplara, hizmet kesintilerine ve müşteri güveninin sarsılmasına neden olabilir.
Güvenlik Açığı Nasıl Kapatıldı?
Güvenlik araştırmacısı vullu164 tarafından keşfedilen bu açık, Wordfence’in hata ödül programına bildirildi. Geliştirici ekip, sorunu çözmek için 18 Kasım 2024’te 1.9.2.2 sürümünü yayınladı. Yeni güncelleme, yetkilendirme kontrollerini sıkılaştırarak bu riski ortadan kaldırıyor.
Hangi Siteler Risk Altında?
WordPress.org verilerine göre, WPForms kullanan sitelerin yaklaşık %50’si güncel sürümde değil. Bu da yaklaşık 3 milyon web sitesinin hala risk altında olduğu anlamına geliyor.