CVE-2024-11205

Versões do WPForms de 1.8.4 a 1.9.2.1

O problema está relacionado à falta de uma verificação de permissão na função wpforms is admin page, o que permite que invasores autenticados com acesso de nível de Assinante ou superior realizem reembolsos de pagamentos e cancelem assinaturas. Isso afeta o plugin WPForms para WordPress, impactando potencialmente mais de 6 milhões de sites. A vulnerabilidade pode ser explorada por usuários autenticados para realizar reembolsos não autorizados no Stripe e cancelamentos de assinaturas.

Para as versões 1.8.4 a 1.9.2.1 do WPForms, atualize para a versão 1.9.2.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função wpforms is admin page para impedir modificações não autorizadas. Além disso, restrinja o acesso ao sistema de pagamentos Stripe para minimizar o risco de exploração.