Patchstack报告了WooCommerce Stripe Gateway中的不安全直接对象引用 (IDOR) 漏洞,WooCommerce Stripe Gateway 是最受欢迎的 WooCommerce Stripe 支付插件,拥有超过 900,000 名活跃用户。它由 Patchstack 研究员 Rafie Muhammad 于 2023 年 4 月 17 日发现,并由 WooCommerce 于 2023 年 5 月 30 日在版本 7.4.1 中进行了修补。
安全公告对该漏洞的描述如下:
此漏洞允许任何未经身份验证的用户查看任何 WooCommnerce 订单的 PII 数据,包括电子邮件、用户名和完整地址。所描述的漏洞已在版本7.4.1中修复, 其中包含一些向后移植的修复版本并分配了 CVE-2023-34000。
它被分配了7.5 的高严重性 CVSS 3.1 分数,并于 6 月 13 日添加到 Patchstack 数据库。
该漏洞影响 7.4.0 及以下版本。尽管 WooCommerce 的补丁已经推出两周,但超过 55% 的插件用户使用的是 7.4 之前的版本,目前尚不清楚有多少 7.4.x 用户使用的是最新版本。
WooCommerce Stripe Gateway插件的 7.4.1 版更新日志包括两个简短说明,但没有详细说明安全更新的严重性:
- 修复 – 添加订单密钥验证。
- 修复 – 添加清理和转义一些输出。
Patchstack 的安全公告包括有关此更新中修复的潜在漏洞的更多技术细节。目前尚不清楚是否已被利用,但鼓励店主尽快更新到最新的 7.4.1 版本。
