Критическая уязвимость в WordPress-плагине WooCommerce Stripe Gateway угрожает сотням тысяч сайтов
В популярном плагине WordPress WooCommerce Stripe Gateway обнаружена уязвимость, которая может приводить к утечке конфиденциальной информации: любой неаутентифицированный пользователь может просматривать детали заказов, размещенных через плагин.
WooCommerce Stripe Payment — это платежный шлюз для e-commerce сайтов, работающих под управлением WordPress. Он позволяет сайтам принимать такие способы оплаты, как Visa, MasterCard, American Express, Apple Pay и Google Pay через API обработки платежей Stripe. В настоящее время плагин насчитывает более 900 000 активных установок.
Аналитики компании Patchstack обнаружили, что плагин уязвим для CVE-2023-34000, проблемы типа IDOR (Insecure direct object references), и это может приводить к раскрытию конфиденциальных данных. Так, уязвимость позволяет неавторизованным пользователям просматривать данные со страниц оформления заказов, включая личную информацию пользователей, их адреса электронной почты, адреса доставки и полное имя.
