Une vulnérabilité dans le plugin WordPress Formidable Forms installé sur plus de 300 000 sites Web permet à des attaquants non authentifiés de contourner la vérification des paiements. La vulnérabilité affecte toutes les versions jusqu’à la 6.28 incluse. Il permet aux attaquants de réutiliser un paiement Stripe effectué pour un montant inférieur pour marquer une transaction plus coûteuse comme payée.
Plugin de formulaires formidables
Le plugin Formidable Forms est un générateur de formulaires par glisser-déposer utilisé par les sites WordPress pour créer des formulaires de contact, des enquêtes, des formulaires d’inscription et des formulaires de paiement. Les sites l’utilisent avec des processeurs de paiement (comme PayPal et Stripe) pour collecter les paiements pour les services, les adhésions, les produits numériques et les inscriptions à des événements.
Vulnérable aux attaquants non authentifiés
Ce qui rend cette vulnérabilité particulièrement préoccupante, c’est qu’elle ne nécessite pas d’authentification. Un attaquant n’a pas besoin de se connecter ni d’obtenir même un accès au niveau de l’abonné pour exploiter la faille. Cela permet aux attaquants de tirer plus facilement parti de la faiblesse de la validation des paiements.
La vulnérabilité a été attribuée CVE-2026-2890 et présente un score de gravité CVSS de 7,5/10, qui est classé élevé.
Contournement de l’intégrité des paiements
La vulnérabilité est due à une validation manquante dans la fonction handle_one_time_stripe_link_return_url. La fonction marque les enregistrements de paiement comme complets en fonction uniquement du statut Stripe PaymentIntent. Cela permet aux attaquants de réutiliser un PaymentIntent valide pour des frais moindres afin d’approuver un achat plus coûteux.
La fonction verify_intent() valide uniquement que le secret client appartient à l’utilisateur. Il ne lie pas le PaymentIntent à une soumission de formulaire spécifique. Il ne vérifie pas que le montant facturé correspond au montant que le client était censé payer.
Selon Clôture de mots:
« Le plugin Formidable Forms pour WordPress est vulnérable à un contournement de l’intégrité des paiements dans toutes les versions jusqu’à la version 6.28 incluse. Cela est dû au gestionnaire de retour Stripe Link (`handle_one_time_stripe_link_return_url`) marquant les enregistrements de paiement comme complets sur la base uniquement du statut Stripe PaymentIntent sans comparer le montant facturé de l’intention avec le montant du paiement attendu, et à la fonction `verify_intent()` validant uniquement la propriété secrète du client sans lier les intentions à des intentions spécifiques. formes ou actions.
Cela permet à des attaquants non authentifiés de réutiliser un PaymentIntent d’un paiement de faible valeur effectué pour marquer un paiement de grande valeur comme complet, contournant ainsi le paiement de biens ou de services.
Cela permet à des attaquants non authentifiés d’effectuer une petite transaction à faible coût, puis de réutiliser ce PaymentIntent pour approuver une transaction plus coûteuse sans payer le prix total.
Cette vulnérabilité ne permet pas l’exécution de code à distance ni la compromission directe du serveur. Mais cela permet aux attaquants d’obtenir des biens ou des services sans payer le prix requis.
Versions et correctifs concernés
Toutes les versions jusqu’à la 6.28 incluse sont concernées. Les utilisateurs du plugin Formidable Forms sont encouragés par Wordfence à mettre à jour vers la version 6.29 ou une version plus récente pour corriger la vulnérabilité.
Commentaires