یک نقص امنیتی در افزونه WooCommerce Stripe Gateway وردپرس کشف شده است که می تواند منجر به افشای غیرمجاز اطلاعات حساس شود.
این نقص که بهعنوان CVE-2023-34000 ردیابی میشود، بر نسخههای 7.4.0 و پایینتر تأثیر میگذارد. این مورد توسط نگهبانان افزونه در نسخه 7.4.1 که در 30 می 2023 ارسال شد، مورد بررسی قرار گرفت.
WooCommerce Stripe Gateway به وب سایت های تجارت الکترونیک اجازه می دهد تا به طور مستقیم روش های پرداخت مختلف را از طریق API پردازش پرداخت Stripe بپذیرند. بیش از 900000 نصب فعال دارد.
به گفته Rafie Muhammad، محقق امنیتی Patch، این افزونه از آسیبپذیری غیرقابل احراز هویت منابع مستقیم شیء ناامن (IDOR) رنج میبرد که به یک بازیگر بد اجازه میدهد مجوز را دور بزند و به منابع دسترسی پیدا کند.
به ویژه، مشکل از مدیریت ناامن اشیاء سفارش و عدم وجود مکانیزم کنترل دسترسی کافی در عملکردهای 'javascript_params' و 'payment_fields' افزونه ناشی میشود.
محمد گفت: «این آسیبپذیری به هر کاربر احراز هویت نشده اجازه میدهد تا دادههای PII سفارش WooCommnerce از جمله ایمیل، نام کاربر و آدرس کامل را مشاهده کند.
این توسعه هفتهها پس از انتشار نسخههای 6.2.1 و 6.2.2 توسط تیم اصلی وردپرس انجام شد تا به پنج مشکل امنیتی، از جمله آسیبپذیری پیمایش دایرکتوری احراز هویت نشده و نقص اسکریپت نویسی بین سایتی احراز هویت نشده، که سه مورد از آنها طی یک ممیزی امنیتی شخص ثالث کشف شد، ارائه شد. .
این نقص که بهعنوان CVE-2023-34000 ردیابی میشود، بر نسخههای 7.4.0 و پایینتر تأثیر میگذارد. این مورد توسط نگهبانان افزونه در نسخه 7.4.1 که در 30 می 2023 ارسال شد، مورد بررسی قرار گرفت.
WooCommerce Stripe Gateway به وب سایت های تجارت الکترونیک اجازه می دهد تا به طور مستقیم روش های پرداخت مختلف را از طریق API پردازش پرداخت Stripe بپذیرند. بیش از 900000 نصب فعال دارد.
به گفته Rafie Muhammad، محقق امنیتی Patch، این افزونه از آسیبپذیری غیرقابل احراز هویت منابع مستقیم شیء ناامن (IDOR) رنج میبرد که به یک بازیگر بد اجازه میدهد مجوز را دور بزند و به منابع دسترسی پیدا کند.
به ویژه، مشکل از مدیریت ناامن اشیاء سفارش و عدم وجود مکانیزم کنترل دسترسی کافی در عملکردهای 'javascript_params' و 'payment_fields' افزونه ناشی میشود.
محمد گفت: «این آسیبپذیری به هر کاربر احراز هویت نشده اجازه میدهد تا دادههای PII سفارش WooCommnerce از جمله ایمیل، نام کاربر و آدرس کامل را مشاهده کند.
این توسعه هفتهها پس از انتشار نسخههای 6.2.1 و 6.2.2 توسط تیم اصلی وردپرس انجام شد تا به پنج مشکل امنیتی، از جمله آسیبپذیری پیمایش دایرکتوری احراز هویت نشده و نقص اسکریپت نویسی بین سایتی احراز هویت نشده، که سه مورد از آنها طی یک ممیزی امنیتی شخص ثالث کشف شد، ارائه شد. .