Специалисты ИБ-компании Patchstack обнаружили уязвимость в плагине WooCommerce Stripe Gateway для WordPress, которая позволяет неавторизованному злоумышленнику просматривать детали заказа, размещенного через плагин.
WooCommerce Stripe Payment – это платежный шлюз для сайтов электронной коммерции WordPress, который в настоящее время загружен более 900 000 раз. Плагин позволяет веб-сайтам принимать такие способы оплаты, как Visa, MasterCard, American Express, Apple Pay и Google Pay, через API обработки платежей Stripe.
Обнаруженный недостаток имеет идентификатор CVE-2023-34000 – уязвимость IDOR (Insecure Direct Object References) – небезопасная прямая ссылка на объект, которая может раскрыть злоумышленникам конфиденциальные данные.
Уязвимость может позволить неавторизованному киберпреступнику просматривать данные страницы оформления заказа, а именно:
- персональные данные (PII);
- адреса электронной почты;
- адреса доставки;
- полное имя пользователя.
Раскрытие вышеуказанных данных может привести к дальнейшим атакам, таким как попытки захвата учетных записей и кражи учетных данных через целевые фишинговые электронные письма.
Недостаток возникает из-за небезопасной обработки объектов заказа и отсутствия надлежащих мер контроля доступа в функциях плагина «javascript_params» и «payment_fields». Ошибки кода позволяют злоупотреблять функциями для отображения сведений о заказе любой WooCommerce без проверки разрешений запроса или владения заказом.
Уязвимость затрагивает все версии WooCommerce Stripe Gateway ниже 7.4.1, до которой пользователям рекомендуется обновиться. Patchstack сообщил об ошибке WooCommerce 17 апреля 2023 г., а версия с исправлением (7.4.1) было выпущено 30 мая 2023 г.
Согласно статистике WordPress.org, более половины активных установок плагина в настоящее время используют уязвимую версию, что приводит к большой площади атаки, которая обязательно привлечет внимание киберпреступников.
Администраторы сайта WordPress должны обновлять все свои плагины, деактивировать неиспользуемые и отслеживать свои сайты на предмет подозрительной активности, такой как изменение файлов, изменение настроек или создание новых учетных записей администратора.
Источник: securitylab.ru