افزونه WooCommerce Stripe Gateway آسیب پذیری امنیتی را در نسخه 7.4.1 – WP Tavern وصله می کند
را دروازه راه راه ووکامرس لاگ تغییرات افزونه برای نسخه 7.4.1 شامل دو یادداشت کوتاه است و در مورد شدت به روز رسانی امنیتی توضیحی نمی دهد:
رفع – افزودن اعتبار سنجی کلید سفارش.
رفع – ضد عفونی کردن را اضافه کنید و از برخی خروجی ها فرار کنید.
مشاوره امنیتی Patchstack شامل جزئیات فنی بیشتری درباره آسیبپذیریهای اساسی است که در این بهروزرسانی برطرف شدهاند. هنوز مشخص نیست که مورد سوء استفاده قرار گرفته است، اما صاحبان فروشگاه ها تشویق می شوند تا در اسرع وقت به آخرین نسخه 7.4.1 به روز رسانی کنند.
این آسیب پذیری بر نسخه های 7.4.0 و پایین تر تأثیر می گذارد. اگرچه این وصله از WooCommerce دو هفته است که در دسترس است، اما بیش از 55 درصد از پایگاه کاربران این افزونه بر روی نسخههای قدیمیتر از 7.4 اجرا میشود و مشخص نیست که تعداد کاربران 7.4.x در آخرین نسخه چند نفر هستند.
Patchstack است گزارش نویسی یک آسیبپذیری ناامن مراجع شی مستقیم (IDOR) در دروازه راه راه ووکامرس، محبوب ترین افزونه پرداخت WooCommerce Stripe با بیش از 900000 کاربر فعال. توسط محقق Patchstack Rafie Muhammad در 17 آوریل 2023 کشف شد و توسط WooCommerce در 30 مه 2023 در نسخه 7.4.1 وصله شد.
این آسیب پذیری به هر کاربر احراز هویت نشده اجازه می دهد تا داده های PII سفارش WooCommnerce از جمله ایمیل، نام کاربر و آدرس کامل را مشاهده کند. آسیب پذیری توصیف شده در نسخه رفع شد 7.4.1 با برخی از نسخه های ثابت backported و اختصاص داده شده است CVE-2023-34000.