WooCommerce Stripe Gateway Plugin-ում հայտնաբերված CVE-2023-34000 խոցելիությունն ազդում է 7.4.0 և ավելի ցածր տարբերակների վրա: Այն հասցեագրվել էր plugin-ի սպասարկողների կողմից 7.4.1 տարբերակում, որը թողարկվել է 2023 թվականի մայիսի 30-ին:
WooCommerce Stripe Gateway-ը թույլ է տալիս էլեկտրոնային առևտրով զբաղվող կայքերին ընդունել վճարման տարբեր եղանակներ՝ Stripe-ի վճարումների մշակման API-ի միջոցով:
Ըստ անվտանգության ոլորտի փորձագետ՝ Ռաֆի Մուհամմեդի, հավելվածում առկա է Insecure direct object references (IDOR) խոցելիությունը, որը հաքերին թույլ է տալիս շրջանցել authorization-ը և մուտք գործել ներքին միջավայր:
Խնդիրը բխում է հավելվածի՝ «javascript_params» և «payment_fields» գործառույթներում մուտքի վերահսկման մեխանիզմի բացակայությունից:
«Տվյալ խոցելիությունը ցանկացած օգտատիրոջ թույլ է տալիս դիտել WooCommnerce պատվերի PII տվյալները, ներառյալ՝ էլ. փոստը, օգտվողի անունը և ամբողջական հասցեն», – նշում է փորձագետ Ռաֆի Մուհամեդը:
Բացահայտումների ընթացքը տրվեց WordPress-ի՝ 6.2.1 և 6.2.2 հրապարակումից անմիջապես հետո, որոնք հրապարակվեցին ահազանգելու առկա խնդրի մասին: Խոցելիություններից երեքը բացահայտվեցին՝ ընթացիկ ուսումնասիրությունների և աուդիտի ժամանակ:
Աղբյուրը՝ https://thehackernews.com/
