Cette faille permet de vous faire rembourser vos achats sur des millions de sites

Suivez-nous Ajouter Buzzarena à vos sources

Des millions de sites de vente en ligne sont touchés par une faille permettant de se faire rembourser ses achats. La vulnérabilité a été découverte dans WPForms, une extension WordPress installée sur plus de 6 millions de sites.

Achat en ligne
© Envato
  • Une faille permet aux internautes de se rembourser eux-mêmes leurs achats
  • Sur dix millions de sites touchés, la moitié n’ont pas installée la version qui corrige la faille
  • La faille provient de l’extension WPForms pour WordPress

La faille permet aux acheteurs d’effectuer des remboursements non autorisés ou d’annuler des abonnements. Connue sous le nom de CVE-2024-11205, la vulnérabilité touche les versions de WPForms entre la 1.8.4 et la 1.9.2.1. Elle ne demande qu’une simple connexion et son exploitation est très simple.

Une faille permet de se rembourser soi-même ses achats

WPForms est un outil qui permet de créer des formulaires WordPress. Très populaire, l’outil est notamment utilisé pour les paiements ou les abonnements. L’extension est compatible avec Stripe mais aussi Square et PayPal pour régler les achats. Il existe deux versions : WPForms Pro et WPForms Lite. C’est la seconde qui est installée sur plus de 6 millions de sites.

La faille vient d’une mauvaise implémentation de “wpforms_is_admin_ajax()”. La fonction vérifie si une requête vient d’un chemin administrateur mais n’effectue aucun contrôle pour restreindre l’accès selon les rôles ou les permissions. En gros : tout utilisateur connecté, même simple acheteur, peut utiliser des fonctions AJAX sensibles comme ‘ajax_single_payment_refund()’ pour les remboursements et ‘ajax_single_payment_cancel()’ pour l’annulation d’abonnements.

Une version a été déployée pour les sites touchés

Il s’agit d’une faille grave puisque les gérants des sites web perdent de l’argent tandis que leur activité est perturbée. La perte de confiance de leur clientèle est également un gros souci. Heureusement, un correctif a rapidement été déployé, le 18 novembre, avec la version 1.9.2.2. Le patch intègre un contrôle des capacités et des mécanismes d’autorisations dans les fonctions AJAX concernées. Mais selon WordPress, la moitié des sites qui utilisent WPForms ne l’ont pas installé. Alors 3 millions de plateformes restent vulnérables.

Pour le moment, cette faille par le chercheur en sécurité vullu164 ne semble pas avoir été exploitée. L’utilisateur l’a signalée à Wordfence et a reçu une récompense de 2 376 dollars, en novembre 2024. Après avoir soumis sa trouvaille, Wordfence a transmis les détails complets à Awesome Motive qui édite l’extension, le 14 novembre.

Vous appréciez notre contenu ?
👉 Soutenez-nous en nous suivant sur Google et ne manquez plus aucun article, promo ou bon plan exclusif !
G Suivez-nous sur Google
Nassim Chentouf
Nassim Chentouf

Passé par plusieurs rédactions et toujours actif dans d’autres, je suis spécialisé dans les nouvelles technologies, l’automobile, le gaming et bien d’autres sujets passionnants. Mon œil affuté me permet de repérer les meilleures actualités pour BuzzArena.

Réagissez à cet article !

Vous aimerez aussi
Derniers articles