Se descubrió una falla de seguridad en el complemento de WordPress WooCommerce Stripe Gateway que podría conducir a la divulgación no autorizada de información confidencial.
La falla, rastreada como CVE-2023-34000, afecta a las versiones 7.4.0 y anteriores. Los mantenedores del complemento lo abordaron en la versión 7.4.1, que se envió el 30 de mayo de 2023.
Pasarela de banda de WooCommerce permite sitios web de comercio electrónico para aceptar directamente varios métodos de pago a través de la API de procesamiento de pagos de Stripe. Se jacta de más de 900.000 instalaciones activas.
Según el investigador de seguridad de Patch, Rafie Muhammad, el complemento sufre de lo que se denomina referencias de objetos directos inseguros no autenticados (IDOR) vulnerabilidad, que permite a un mal actor eludir la autorización y acceder a los recursos.
Especialmente, el problema surge del manejo inseguro de los objetos de pedido y la falta de un mecanismo de control de acceso adecuado en las funciones ‘javascript_params’ y ‘payment_fields’ del complemento.
«Esta vulnerabilidad permite que cualquier usuario no autenticado vea los datos PII de cualquier orden de WooCommnerce, incluido el correo electrónico, el nombre del usuario y la dirección completa», dijo Muhammad. dicho.
El desarrollo llega semanas después del lanzamiento del equipo central de WordPress. 6.2.1 y 6.2.2 para abordar cinco problemas de seguridad, incluida una vulnerabilidad de cruce de directorios no autenticado y una falla de secuencias de comandos entre sitios no autenticados, tres de los cuales se descubrieron durante una auditoría de seguridad de un tercero.