Vulnerabilidad crítica descubierta en el complemento WooCommerce Stripe Gateway

Se ha descubierto una falla de seguridad en el complemento de WordPress WooCommerce Stripe Gateway que podría conducir a la divulgación no autorizada de información confidencial.

La falla, rastreada como CVE-2023-34000, afecta a las versiones 7.4.0 y anteriores. Fue abordado por los mantenedores del complemento en la versión 7.4.1, que se envió el 30 de mayo de 2023.

WooCommerce Stripe Gateway permite a los sitios web de comercio electrónico aceptar directamente varios métodos de pago a través de la API de procesamiento de pagos de Stripe. Cuenta con más de 900.000 instalaciones activas.

Según el investigador de seguridad de parches Rafie Muhammad, el complemento sufre de lo que se llama una vulnerabilidad de referencias directas de objetos inseguros (IDOR) no autenticada, que permite a un mal actor eludir la autorización y acceder a los recursos.

Especialmente, el problema se deriva del manejo inseguro de los objetos de pedido y la falta de un mecanismo de control de acceso adecuado en las funciones 'javascript_params' y 'payment_fields' del complemento.

"Esta vulnerabilidad permite a cualquier usuario no autenticado ver los datos de PII de cualquier pedido de WooCommnerce, incluido el correo electrónico, el nombre del usuario y la dirección completa", dijo Muhammad.

El desarrollo se produce semanas después de que el equipo central de WordPress lanzara 6.2.1 y 6.2.2 para abordar cinco problemas de seguridad, incluida una vulnerabilidad de cruce de directorios no autenticada y una falla de scripting entre sitios no autenticada. Tres de los errores fueron descubiertos durante una auditoría de seguridad de terceros.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login