В популярном плагине WooCommerce Stripe Gateway для платформы WordPress обнаружена опасная уязвимость, которая при определенных условиях позволяет неавторизованному пользователю открывать информацию о заказах.
Данный плагин представляет собой многофункциональный платежный шлюз для коммерческих сайтов на базе WordPress. Модуль имеет свыше 900 тысяч установок и позволяет быстро подключить к сайту популярные способы оплаты.
Специалисты Patchstack обнаружили, что плагин не защищен от обнаруженной ранее уязвимости с индексом CVE-2023-34000. Отображается, кроме прочего, личная информация, включая полное имя, адрес доставки и электронную почту.
В отчете отмечается, что проблема заключается в слабо проработанной схеме разграничения доступа к функциям payment_fields и javascript_params. Это и позволяет обойти защиту и отобразить данные, предназначенные для другого пользователя.
Ошибка присутствует во всех версиях плагина ниже 7.4.1. Для защиты достаточно проверить текущий номер версии и при необходимости принудительно инициировать процесс обновления.
Получи скидку 20% при оформлении заказа журнала хакер на год.
-
Оставьте свой комментарий:
![]:->](https://wpsablon.ru/wp-content/themes/ab-inspiration/inc/qipsmiles/smiles/devil.gif "]:->")
