Уязвимость в безопасности популярного плагина WordPress Formidable Forms, используемого более чем на 300 000 веб-сайтах, позволяет злоумышленникам обходить проверки оплаты. Это затрагивает все версии плагина до версии 6.28. По сути, злоумышленник мог бы взять квитанцию об оплате на небольшую сумму и использовать ее для ложного подтверждения более крупной покупки.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Плагин Formidable Forms
Formidable Forms — это плагин WordPress, который позволяет легко создавать различные типы форм — такие как контактные формы, опросы и регистрационные формы — с помощью простого интерфейса перетаскивания. Он также позволяет веб-сайтам принимать платежи за такие вещи, как услуги, членство, цифровые загрузки и мероприятия, подключаясь к платёжным системам, таким как PayPal и Stripe.
Уязвим для неаутентифицированных злоумышленников
Эта уязвимость особенно опасна, поскольку воспользоваться ею может любой – злоумышленникам не нужны имя пользователя, пароль или доступ к какой-либо учетной записи. Отсутствие безопасности упрощает для злоумышленников использование проблемы с тем, как проверяются платежи.
Обнаружена уязвимость в системе безопасности, идентифицированная как CVE-2026-2890. Она считается проблемой высокой степени серьезности с оценкой 7.5 из 10.
Обход целостности платежа
Существует уязвимость в системе безопасности, поскольку она не проверяет детали платежа должным образом. Она полагается только на то, сообщает ли Stripe об успешном платеже, не проверяя сумму. Это позволяет злоумышленникам потенциально использовать подтверждение платежа на небольшую сумму для мошеннического одобрения более крупной покупки.
Функция `verify_intent()` просто проверяет, связан ли клиентский секрет с правильным пользователем. Она не связывает PaymentIntent с конкретной отправкой формы и не подтверждает, что взимаемая сумма является ожидаемой суммой.
В плагине Formidable Forms для WordPress существует уязвимость в системе безопасности (все версии до и включая 6.28), которая может позволить кому-либо обойти проверку платежа. Это происходит потому, что плагин полагается только на статус попытки платежа Stripe, не проверяя, соответствует ли оплаченная сумма ожидаемой цене. Кроме того, плагин проверяет право собственности на запрос платежа, но не связывает его с конкретной формой или действием, что делает возможным ложное подтверждение платежей.
Эта уязвимость позволяет злоумышленникам использовать завершенный, небольшой платеж для ложного подтверждения более крупного платежа, позволяя им избежать оплаты товаров или услуг.
Эта уязвимость позволяет злоумышленникам совершить небольшую первоначальную оплату, а затем использовать тот же запрос на оплату для одобрения более крупной покупки, не покрывая полную стоимость.
Этот недостаток не позволяет хакерам получить контроль над сервером или запускать на нем код. Однако он позволяет злоумышленникам получать продукты или услуги, не оплачивая полную цену.
Затронутые версии и патч
Wordfence рекомендует пользователям плагина Formidable Forms обновиться до версии 6.29 или более поздней. Это связано с тем, что все версии до и включая 6.28 имеют уязвимость в системе безопасности.
Смотрите также
- 25 Альтернативных Поисковых Систем, Которые Вы Можете Использовать Вместо Google
- Акции PHOR. ФосАгро: прогноз акций.
- 11 лучших бесплатных и платных курсов по цифровому маркетингу (2024 г.)
- 15 вопросов, которые следует задать на собеседовании кандидатам на должность специалиста по цифровому маркетингу
- Функция чата в поиске Google не позволяет вам начинать новые чаты
- 70% медиакомпаний не используют ИИ в полной мере — так говорится в отчете IAB
- Панель знаний в стиле карточек Google Tests. Дизайн рабочего стола.
- Поиск релевантных тем в Google
- Почему поиск в Google не работает? Видео получает миллионы просмотров
- LinkedIn запускает новый Creators Hub с советами по контентной стратегии
2026-03-13 02:09