根据 The Hacker News 的报道,WooCommerce 的 Stripe Gateway 插件存在一个关键的安全漏洞,该插件用于支持基于 WordPress 的电子商务网站的各类支付方式。研究称,这一未经身份验证的不安全直接对象引用漏洞被追踪为 CVE202334000,主要原因是其 paymentfields 和 javascriptparams 函数中的访问控制机制不足,以及不当的订单对象管理。Patchstack 的安全研究员 Rafie Muhammad 表示:“这个漏洞允许任何未经验证的用户查看任何 WooCommerce 订单的个人身份信息,包括电子邮件、用户名和完整地址。”
WooCommerce 已于上个月作为插件版本 741 发布了修补程序。此外,在 WordPress 解决了五个不同的漏洞后,此安全漏洞的细节也被公开,其中三个漏洞是通过第三方审计发现的。修复的漏洞中还包括一个未经身份验证的跨站脚本漏洞和一个未经身份验证的目录遍历漏洞。
漏洞名称漏洞编号漏洞类型状态WooCommerce Stripe GatewayCVE202334000不安全的直接对象引用已修复 (版本 741)跨站脚本漏洞CVEXXXXXXXX跨站脚本已修复目录遍历漏洞CVEXXXXXXXX目录遍历已修复重要提示:强烈建议所有使用 WooCommerce Stripe Gateway 插件的用户立即更新到最新版本,以保障网站安全。确保定期检查和更新插件,以防止潜在的安全威胁。
