Пользователям WordPress, у которых установлен плагин WooCommerce Stripe Gateway, настоятельно рекомендуется обновиться как минимум до версии 7.4.1 после сообщений о серьезной уязвимости системы безопасности, которая потенциально может привести к утечке персональных данных пользователей.
Уязвимость под номером CVE-2023-34000 затрагивает бесплатную версию плагина WooCommerce Stripe Gateway, в частности версии 7.4.0 и ниже. Популярный плагин для электронной коммерции имеет более 900 000 активных установок, что делает серьезность ошибки особенно тревожной.
Поскольку плагин позволяет клиентам обрабатывать платежи на выбранном ими бизнес-сайте WordPress, а не перенаправляться на внешний сайт, плагин Stripe оказался особенно популярным.
Обновите плагин Stripe WordPress прямо сейчас
Проблема с CVE-2023-34000 заключается в том, что любой не прошедший проверку подлинности пользователь может получить доступ к данным PII каждого заказа WooCommerce, включая адреса электронной почты, имена и полные адреса.
Поставщик услуг безопасности WordPress считается первым, кто обнаружил уязвимость. стек патчей уже уведомил поставщика плагина 17 апреля, но только чуть более шести недель спустя была выпущена версия 7.4.1, исправляющая проблему.
В журнале изменений для версии 7.4.1 есть две записи: «Добавить проверку ключа заказа» и «Добавить очистку и замаскировать некоторые выходные данные».
Несмотря на проблемы с безопасностью, платежный плагин остается основным продуктом для многих предприятий электронной коммерции, которые выбирают WordPress из-за его способности обрабатывать платежи Visa, MasterCard и American Express, включая Apple Pay, через API Stripe.
WooCommerce не ответила сразу Технический радар ProПрошу прокомментировать уязвимость, на исправление которой ушло несколько недель.
