Уязвимость в безопасности популярного плагина WordPress Formidable Forms, используемого более чем на 300 000 веб-сайтах, позволяет злоумышленникам обходить проверки оплаты. Это затрагивает все версии плагина до версии 6.28. По сути, злоумышленник мог бы взять квитанцию об оплате на небольшую сумму и использовать ее для ложного подтверждения более крупной покупки.
Плагин Formidable Forms
Formidable Forms — это плагин WordPress, который позволяет легко создавать различные типы форм — такие как контактные формы, опросы и регистрационные формы — с помощью простого интерфейса перетаскивания. Он также позволяет веб-сайтам принимать платежи за такие вещи, как услуги, членство, цифровые загрузки и мероприятия, подключаясь к платёжным системам, таким как PayPal и Stripe.
Уязвим для неаутентифицированных злоумышленников
Эта уязвимость особенно опасна, поскольку воспользоваться ею может любой – злоумышленникам не нужны имя пользователя, пароль или доступ к какой-либо учетной записи. Отсутствие безопасности упрощает для злоумышленников использование проблемы с тем, как проверяются платежи.
Обнаружена уязвимость в системе безопасности, идентифицированная как CVE-2026-2890. Она считается проблемой высокой степени серьезности с оценкой 7.5 из 10.
Обход целостности платежа
Существует уязвимость в системе безопасности, поскольку она не проверяет детали платежа должным образом. Она полагается только на то, сообщает ли Stripe об успешном платеже, не проверяя сумму. Это позволяет злоумышленникам потенциально использовать подтверждение платежа на небольшую сумму для мошеннического одобрения более крупной покупки.
Функция `verify_intent()` просто проверяет, связан ли клиентский секрет с правильным пользователем. Она не связывает PaymentIntent с конкретной отправкой формы и не подтверждает, что взимаемая сумма является ожидаемой суммой.
В плагине Formidable Forms для WordPress существует уязвимость в системе безопасности (все версии до и включая 6.28), которая может позволить кому-либо обойти проверку платежа. Это происходит потому, что плагин полагается только на статус попытки платежа Stripe, не проверяя, соответствует ли оплаченная сумма ожидаемой цене. Кроме того, плагин проверяет право собственности на запрос платежа, но не связывает его с конкретной формой или действием, что делает возможным ложное подтверждение платежей.
Эта уязвимость позволяет злоумышленникам использовать завершенный, небольшой платеж для ложного подтверждения более крупного платежа, позволяя им избежать оплаты товаров или услуг.
Эта уязвимость позволяет злоумышленникам совершить небольшую первоначальную оплату, а затем использовать тот же запрос на оплату для одобрения более крупной покупки, не покрывая полную стоимость.
Этот недостаток не позволяет хакерам получить контроль над сервером или запускать на нем код. Однако он позволяет злоумышленникам получать продукты или услуги, не оплачивая полную цену.
Затронутые версии и патч
Wordfence рекомендует пользователям плагина Formidable Forms обновиться до версии 6.29 или более поздней. Это связано с тем, что все версии до и включая 6.28 имеют уязвимость в системе безопасности.
Смотрите также
- Акции EUTR. ЕвроТранс: прогноз акций.
- Мы разобрались как работают обзоры искусственного интеллекта (& построили инструмент, чтобы доказать это)
- Анализ динамики цен на криптовалюту CRV: прогнозы CRV
- Обновления тенденций 2024 года: что действительно работает в SEO и контент-маркетинге через @sejournal, @lorenbaker
- Google Merchant Center Next получает поддержку дополнительных фидов
- Сообщение в нижнем колонтитуле поиска Bing, стимулирующее дополнительные поисковые запросы
- Google обновляет политику запрещенного использования генеративного искусственного интеллекта
- Как написать отчёты по SEO, которые привлекут внимание вашего главного исполнительного директора
- Спроси у СЕО: Как нам перенаправить Гугл с нашего старого имени бренда на новое?
- Волатильность рейтинга в Google Поиске остается высокой, скачок произошел в четверг.
2026-03-13 02:09
