WooCommerce Stripe Gateway WordPress eklentisinde, hassas bilgilerin yetkisiz olarak ifşa edilmesine yol açabilecek bir güvenlik açığı ortaya çıkarıldı.
Kusur, şu şekilde izlenir: CVE-2023-34000, 7.4.0 ve altındaki sürümleri etkiler. 30 Mayıs 2023’te gönderilen 7.4.1 sürümünde eklenti bakımcıları tarafından ele alındı.
WooCommerce Stripe Gateway, e-ticaret web sitelerinin Stripe’ın ödeme işleme API’si aracılığıyla çeşitli ödeme yöntemlerini doğrudan kabul etmesine olanak tanır. 900.000’den fazla aktif kuruluma sahiptir.
Patch güvenlik araştırmacısı Rafie Muhammad’e göre eklenti, kötü bir aktörün yetkilendirmeyi atlamasına ve kaynaklara erişmesine olanak tanıyan kimliği doğrulanmamış Güvenli olmayan doğrudan nesne referansları (IDOR) güvenlik açığından muzdarip.
Özellikle sorun, sipariş nesnelerinin güvenli olmayan bir şekilde ele alınmasından ve eklentinin ‘javascript_params’ ve ‘payment_fields’ işlevlerinde yeterli erişim kontrol mekanizmasının olmamasından kaynaklanmaktadır.
Muhammed, “Bu güvenlik açığı, kimliği doğrulanmamış herhangi bir kullanıcının e-posta, kullanıcı adı ve tam adres dahil olmak üzere herhangi bir WooCommnerce siparişinin PII verilerini görüntülemesine olanak tanır” dedi.
Geliştirme, WordPress çekirdek ekibinin, kimliği doğrulanmamış bir dizin geçişi güvenlik açığı ve kimliği doğrulanmamış siteler arası komut dosyası çalıştırma kusuru dahil olmak üzere beş güvenlik sorununu ele almak için 6.2.1 ve 6.2.2’yi yayınlamasından haftalar sonra geldi ve bunlardan üçü üçüncü taraf güvenlik denetimi sırasında ortaya çıkarıldı. .