El complemento Contact Form by WPForms – Drag & Drop Form Builder for WordPress para WordPress es vulnerable a la manipulación de precios en versiones hasta, e incluyendo, 1.8.7.2. Esto se debe a la falta de controles en varios parámetros del producto. Esto hace posible que atacantes no autenticados manipulen precios, información del producto y cantidades para compras realizadas a través de la integración de pago de Stripe.
La vulnerabilidad CVE-2024-3649, denominada ‘External Control of Assumed-Immutable Web Parameter’, afecta a los usuarios que utilicen la versión 1.8.7.2 y anteriores del complemento Contact Form by WPForms. Los atacantes pueden aprovechar esta vulnerabilidad para modificar precios, información de productos y cantidades de compra de forma no autenticada a través de la integración de pago de Stripe. Para mitigar este riesgo, se recomienda a los usuarios actualizar a la última versión del complemento tan pronto como sea posible. Además, se sugiere monitorear de cerca las transacciones de compra para detectar cualquier actividad sospechosa.
Es crucial para la seguridad de su sitio web mantener todos los complementos y temas actualizados para evitar posibles vulnerabilidades como la manipulación de precios no autenticada en el complemento Contact Form by WPForms. Con la implementación de las últimas actualizaciones y la vigilancia constante de las transacciones, los usuarios pueden protegerse contra posibles ataques.