Se descubri\u00f3 una falla de seguridad en el complemento de WordPress WooCommerce Stripe Gateway que podr\u00eda conducir a la divulgaci\u00f3n no autorizada de informaci\u00f3n confidencial.<\/p>\n
La falla, rastreada como CVE-2023-34000<\/strong>, afecta a las versiones 7.4.0 y anteriores. Los mantenedores del complemento lo abordaron en la versi\u00f3n 7.4.1, que se envi\u00f3 el 30 de mayo de 2023.<\/p>\n Pasarela de banda de WooCommerce permite<\/a> sitios web de comercio electr\u00f3nico para aceptar directamente varios m\u00e9todos de pago a trav\u00e9s de la API de procesamiento de pagos de Stripe. Se jacta de m\u00e1s de 900.000 instalaciones activas.<\/p>\n Seg\u00fan el investigador de seguridad de Patch, Rafie Muhammad, el complemento sufre de lo que se denomina referencias de objetos directos inseguros no autenticados (IDOR<\/a>) vulnerabilidad, que permite a un mal actor eludir la autorizaci\u00f3n y acceder a los recursos.<\/p>\n Especialmente, el problema surge del manejo inseguro de los objetos de pedido y la falta de un mecanismo de control de acceso adecuado en las funciones ‘javascript_params’ y ‘payment_fields’ del complemento.<\/p>\n “Esta vulnerabilidad permite que cualquier usuario no autenticado vea los datos PII de cualquier orden de WooCommnerce, incluido el correo electr\u00f3nico, el nombre del usuario y la direcci\u00f3n completa”, dijo Muhammad. dicho<\/a>.<\/p>\n El desarrollo llega semanas despu\u00e9s del lanzamiento del equipo central de WordPress. 6.2.1<\/a> y 6.2.2<\/a> para abordar cinco problemas de seguridad, incluida una vulnerabilidad de cruce de directorios no autenticado y una falla de secuencias de comandos entre sitios no autenticados, tres de los cuales se descubrieron durante una auditor\u00eda de seguridad de un tercero.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Pandilla-china-PostalFurious-ataca-a-usuarios-de-EAU-con-esquema.png\")
<\/a><\/center><\/div>\n