افزونه WooCommerce Stripe Gateway آسیب پذیری امنیتی را در نسخه 7.4.1 – WP Tavern وصله می کند

مشاوره امنیتی این آسیب پذیری را به شرح زیر توصیف می کند:

به آن اختصاص داده شد نمره CVSS 3.1 با شدت بالا از 7.5 و در 13 ژوئن به پایگاه داده Patchstack اضافه شد.

Patchstack است گزارش نویسی یک آسیب‌پذیری ناامن مراجع شی مستقیم (IDOR) در دروازه راه راه ووکامرس، محبوب ترین افزونه پرداخت WooCommerce Stripe با بیش از 900000 کاربر فعال. توسط محقق Patchstack Rafie Muhammad در 17 آوریل 2023 کشف شد و توسط WooCommerce در 30 مه 2023 در نسخه 7.4.1 وصله شد.

این آسیب پذیری به هر کاربر احراز هویت نشده اجازه می دهد تا داده های PII سفارش WooCommnerce از جمله ایمیل، نام کاربر و آدرس کامل را مشاهده کند. آسیب پذیری توصیف شده در نسخه رفع شد 7.4.1 با برخی از نسخه های ثابت backported و اختصاص داده شده است CVE-2023-34000.

این آسیب پذیری بر نسخه های 7.4.0 و پایین تر تأثیر می گذارد. اگرچه این وصله از WooCommerce دو هفته است که در دسترس است، اما بیش از 55 درصد از پایگاه کاربران این افزونه بر روی نسخه‌های قدیمی‌تر از 7.4 اجرا می‌شود و مشخص نیست که تعداد کاربران 7.4.x در آخرین نسخه چند نفر هستند.

مشاوره امنیتی Patchstack شامل جزئیات فنی بیشتری درباره آسیب‌پذیری‌های اساسی است که در این به‌روزرسانی برطرف شده‌اند. هنوز مشخص نیست که مورد سوء استفاده قرار گرفته است، اما صاحبان فروشگاه ها تشویق می شوند تا در اسرع وقت به آخرین نسخه 7.4.1 به روز رسانی کنند.


منبع: https://wptavern.com/woocommerce-stripe-gateway-plugin-patches-security-vulnerability-in-7-4-1

را دروازه راه راه ووکامرس لاگ تغییرات افزونه برای نسخه 7.4.1 شامل دو یادداشت کوتاه است و در مورد شدت به روز رسانی امنیتی توضیحی نمی دهد:

  • رفع – افزودن اعتبار سنجی کلید سفارش.
  • رفع – ضد عفونی کردن را اضافه کنید و از برخی خروجی ها فرار کنید.