La vulnerabilidad CVE-2024-11205 encontrada en el plugin WPForms para WordPress permite a usuarios autenticados con nivel Subscriber o superior realizar reembolsos de pagos y cancelar suscripciones sin la autorización adecuada.
El plugin WPForms para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de capacidades en la función ‘wpforms_is_admin_page’ en las versiones desde 1.8.4 hasta 1.9.2.1. Esto abre la posibilidad para que atacantes autenticados, con acceso de nivel Subscriber o superior, puedan realizar reembolsos de pagos y cancelar suscripciones sin permiso.
Se recomienda a los usuarios de WPForms que actualicen a la última versión disponible, en este caso, la 1.9.2.2, que soluciona esta vulnerabilidad. Además, se aconseja limitar el acceso de los usuarios en función de sus roles para evitar posibles ataques de este tipo en el futuro.