Mashhur WordPress WooCommerce Stripe Gateway plaginida maxfiy ma’lumotlarning chiqib ketishiga olib kelishi mumkin bo‘lgan zaiflik aniqlandi: autentifikatsiya qilinmagan har qanday foydalanuvchi plagin orqali joylashtirilgan buyurtmalar tafsilotlarini ko‘rishi mumkin.
WooCommerce Stripe Payment – bu WordPress tomonidan ishlab chiqilgan elektron tijorat saytlari uchun to’lov shlyuzidir. Bu veb-saytlarga Visa, MasterCard, American Express, Apple Pay va Google Pay kabi toʻlov usullarini Stripe toʻlovni qayta ishlash API orqali qabul qilish imkonini beradi. Hozirda plagin 900 000 dan ortiq faol o’rnatishga ega.
Patchstack tahlilchilari plagin CVE-2023-34000, yaʼni xavfsiz boʻlmagan toʻgʻridan-toʻgʻri obʼyekt havolalari (IDOR) tipidagi muammoga nisbatan zaif ekanligini aniqladilar, bu esa maxfiy maʼlumotlarning oshkor etilishiga olib kelishi mumkin. Masalan, zaiflik ruxsatsiz foydalanuvchilarga hisob-kitob sahifalaridagi ma’lumotlarni, jumladan, foydalanuvchilarning shaxsiy ma’lumotlarini, ularning elektron pochta manzillarini, etkazib berish manzillarini va to’liq ismni ko’rish imkonini beradi.Tadqiqotchilar yozganidek, muammo buyurtma ob’ektlarini xavfsiz qayta ishlash va javascript_params va payment_fields funktsiyalarida kirishni boshqarishning tegishli mexanizmining yo’qligi bilan bog’liq.
Natijada, so’rovlar ruxsatini yoki foydalanuvchi xaritasini tekshirmasdan, har qanday buyurtmalar tafsilotlarini ko’rsatish uchun ushbu funktsiyalar suiiste’mol qilinishi mumkin.
Xabar qilinishicha, zaiflik WooCommerce Stripe Gateway’ning 7.4.1 dan past bo‘lgan barcha versiyalariga ta’sir qiladi, foydalanuvchilarga yangilash tavsiya etiladi. Qayta koʻrib chiqilgan 7.4.1 versiyasi 2023-yil 30-mayda chiqarilgan.
Eng ko’p o’qilgan maqolalar