Исследователи компании Patchstack выявили уязвимость плагина WooCommerce Stripe Gateway для системы управления контентом WordPress. Он представляет собой платежный шлюз для сайтов электронной коммерции и позволяет интернет-магазинам принимать оплату посредством платежных систем Visa, MasterCard, American Express, Apple Pay и Google Pay через интерфейс Stripe. Уязвимость, получившая идентификатор CVE-2023-34000, позволяет неавторизованному пользователю получить доступ к деталям оформленных заказов.

В частности, хакер имеет возможность узнать имя покупателя, его адрес электронной почты и адрес доставки заказа. Похищение этой информации рассматривается как серьезная потенциальная угроза: данные могут использоваться в последующих целенаправленных фишинговых атаках с целью взлома учетных записей. Проблема вызвана небезопасной обработкой данных объектов заказа и ненадлежащим уровнем контроля доступа в функциях javascript_params и payment_fields.

Уязвимость затрагивает все версии плагина WooCommerce Stripe Gateway ниже 7.4.1, до которой всем пользователям настоятельно рекомендовано срочно обновить свое ПО. Эта версия содержит исправление уязвимости, она была выпущена 30 мая, через несколько недель после того, как специалисты Patchstack уведомили разработчиков об уязвимости. Согласно статистике WordPress, плагин WooCommerce Stripe Gateway был загружен в общей сложности более 900 тысяч раз, при этом более половины всех активных установок используют в данный момент уязвимую версию ПО. Это открывает перед киберпреступниками весьма широкое поле для организации атак.