WooCommerce Stripe Gateway WordPress eklentisinde, hassas bilgilerin yetkisiz olarak ifşa edilmesine yol açabilecek bir güvenlik açığı ortaya çıkarıldı.
Kusur, şu şekilde izlenir: CVE-2023-34000, 7.4.0 ve altındaki sürümleri etkiler. 30 Mayıs 2023’te gönderilen 7.4.1 sürümünde eklenti bakımcıları tarafından ele alındı.
WooCommerce Şerit Ağ Geçidi izin verir Stripe’ın ödeme işleme API’si aracılığıyla çeşitli ödeme yöntemlerini doğrudan kabul etmek için e-ticaret web siteleri. 900.000’den fazla aktif kuruluma sahiptir.
Patch güvenlik araştırmacısı Rafie Muhammad’e göre eklenti, kimliği doğrulanmamış Güvensiz doğrudan nesne referansları (IDOR) kötü bir aktörün yetkilendirmeyi atlamasına ve kaynaklara erişmesine izin veren güvenlik açığı.
Özellikle sorun, sipariş nesnelerinin güvenli olmayan bir şekilde ele alınmasından ve eklentinin ‘javascript_params’ ve ‘payment_fields’ işlevlerinde yeterli erişim kontrol mekanizmasının olmamasından kaynaklanmaktadır.
Muhammed, “Bu güvenlik açığı, kimliği doğrulanmamış herhangi bir kullanıcının e-posta, kullanıcı adı ve tam adres dahil olmak üzere herhangi bir WooCommnerce siparişinin PII verilerini görüntülemesine olanak tanır.” söz konusu.
Geliştirme, WordPress çekirdek ekibinin yayınlanmasından haftalar sonra gelir. 6.2.1 Ve 6.2.2 kimliği doğrulanmamış bir dizin geçişi güvenlik açığı ve kimliği doğrulanmamış siteler arası komut dosyası çalıştırma kusuru dahil olmak üzere beş güvenlik sorununu ele almak için, bunlardan üçü bir üçüncü taraf güvenlik denetimi sırasında ortaya çıkarıldı.