WordPress Stripe Ödeme Eklentisinde Kritik Güvenlik Açığı

WordPress Stripe Ödeme Ağ Geçidi eklentisi, Kimliği Doğrulanmamış Güvenli Olmayan Doğrudan Nesne Referansı (IDOR) Güvenlik Açığı’na karşı savunmasızdır. WooCommerce bu eklentiyi geliştirdi.

Eklenti sürümü 7.4.1’dir ve dünya çapında yaklaşık 900.000 kuruluma sahiptir. Genellikle ödemeler, ödeme ve ödeme sürecinin gerçekleştiği harici olarak barındırılan ödeme sayfalarına yönlendirilir.

Bu eklentinin kullanımı müşterilerin ödeme sırasında wordpress sitesinde kalmalarını sağlamaktır.

CVE-2023-34000: WooCommerce Stripe Payment Gateway eklentisindeki IDOR güvenlik açığı

Bir tehdit aktörü, javascript_params Ve ödeme_alanları Kişisel Olarak Tanımlanabilir Bilgiler (PII), e-posta adresleri, gönderim adresleri ve PathStack tarafından bildirilen kullanıcının tam adı dahil olmak üzere veritabanından hassas bilgileri alma işlevi.

Yukarıdaki verilerin açığa çıkması ciddi kabul edilir ve hesapları ele geçirmeye ve kimlik bilgilerini çalmaya çalışan dolandırıcı e-postalar gibi daha fazla saldırıya yol açabilir.

Etkilenen Ürünler

WooCommerce Stripe Ağ Geçidi Eklentisi sürüm 7.4.0 ve altı

Sürümde Düzeltildi

WooCommerce Stripe Ağ Geçidi Eklentisi sürüm 7.4.1

Güvenlik Açığı Ayrıntıları

eklentinin “javascript_params” ve “payment_fields” işlevler, uygun olmayan sipariş nesnesi işleme ve erişim kontrol mekanizmalarının olmaması nedeniyle savunmasızdır.

Koddaki bu kusurlar nedeniyle, herhangi bir WooCommerce sipariş bilgisi, önce talebin meşruiyeti veya siparişin gerçek sahibi doğrulanmadan yetkisiz bir üçüncü tarafça görüntülenebilir.

WordPress.org tarafından derlenen istatistikler, tüm aktif eklenti kurulumlarının yarısından fazlasının savunmasız bir sürüm kullandığını gösteriyor.

Bu kusuru gidermek için gerekli güncellemeler WooCommerce tarafından kullanıma sunuldu. Kullanıcılara, bu kusuru gideren 7.4.1 sürümüne yükseltmeleri önerilir.

Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin