آسیب پذیری در افزونه WooCommerce Stripe Payment Gateway بیش از 900000 وب سایت را تحت تأثیر قرار داده است.

[ad_1]

کشف شده است که افزونه دروازه پرداخت WooCommerce Stripe دارای آسیب‌پذیری است که به هکر اجازه می‌دهد اطلاعات شخصی مشتری (PII) را از فروشگاه‌هایی که از این افزونه استفاده می‌کنند سرقت کند.

محققان امنیتی هشدار می دهند که هکرها برای اجرای این اکسپلویت که امتیاز بالای 7.5 را در مقیاس 1 تا 10 دریافت کرده است، نیازی به احراز هویت ندارند.

افزونه درگاه پرداخت ووکامرس Stripe

افزونه درگاه پرداخت Stripe که توسط WooCommerce، Automattic، WooThemes و سایر مشارکت کنندگان توسعه یافته است، در بیش از 900000 وب سایت نصب شده است.

این یک روش آسان برای مشتریان فروشگاه WooCommerce برای پرداخت با چندین کارت اعتباری مختلف و بدون نیاز به باز کردن حساب ارائه می دهد.

یک حساب Stripe به طور خودکار در هنگام پرداخت ایجاد می شود، و به مشتریان یک تجربه خرید یکپارچه از تجارت الکترونیکی می دهد.

این افزونه از طریق یک رابط برنامه نویسی کاربردی (API) کار می کند.

API مانند پلی بین دو نرم افزار است که به فروشگاه WooCommerce اجازه می دهد تا با نرم افزار Stripe تعامل داشته باشد تا سفارشات را از وب سایت به Stripe به صورت یکپارچه پردازش کند.

آسیب پذیری افزونه WooCommerce Stripe چیست؟

محققان امنیتی در Patchstack این آسیب‌پذیری را کشف کردند و مسئولانه آن را به طرف‌های مربوطه فاش کردند.

به گفته محققان امنیتی Patchstack:

“این افزونه از یک آسیب پذیری غیرقابل احراز هویت ارجاع دهنده شیء ناامن (IDOR) رنج می برد.”

این آسیب‌پذیری به هر کاربر غیرمجاز اجازه می‌دهد تا اطلاعات شخصی هر سفارش WooCommerce، از جمله ایمیل، نام کاربری و آدرس کامل را مشاهده کند.

نسخه های افزونه WooCommerce Stripe تحت تأثیر قرار گرفته است

این آسیب پذیری نسخه های قبل و برابر با نسخه 7.4.0 را تحت تأثیر قرار می دهد.

توسعه دهندگان مرتبط با این افزونه آن را به نسخه 7.4.1 به روز کرده اند که امن ترین نسخه است.

طبق تغییرات رسمی افزونه، این به‌روزرسانی‌های امنیتی انجام شده است:

  • “رفع – افزودن اعتبار سنجی کلید سفارش.
  • رفع – ضدعفونی کردن را اضافه کنید و از برخی نتایج اجتناب کنید.”

چند مشکل وجود دارد که باید برطرف شود.

به نظر می رسد اولین مورد عدم تأیید اعتبار است، که اساساً یک بررسی تأیید اعتبار است که درخواست از طرف یک نهاد مجاز است.

مرحله بعدی پاکسازی است که به فرآیند مسدود کردن هر ورودی غیر معتبر اشاره دارد. به عنوان مثال، اگر ورود فقط به متن اجازه می دهد، باید به گونه ای تنظیم شود که بارگذاری اسکریپت مجاز نباشد.

آنچه در تغییرات ذکر شده است اجتناب از خروج است که راهی برای مسدود کردن ورودی های ناخواسته و مخرب است.

سازمان غیرانتفاعی امنیتی Open Worldwide Application Security Project (OWASP) آن را اینگونه توضیح می دهد:

رمزگذاری و فرار تکنیک‌های دفاعی هستند که برای توقف حملات تزریقی طراحی شده‌اند.

راهنمای رسمی وردپرس API آن را اینگونه توضیح می دهد:

«اجتناب از خروجی فرآیند محافظت از داده‌های منبع با حذف داده‌های ناخواسته، مانند تگ‌های HTML یا اسکریپت نادرست است.

این فرآیند به محافظت از داده‌های شما قبل از ارائه آن به کاربر نهایی کمک می‌کند.

به کاربران این افزونه اکیداً توصیه می شود که افزونه های خود را بلافاصله به نسخه 7.4.1 به روز کنند

نکات امنیتی را در Patchstack بخوانید:

IDOR تأیید نشده برای افشای PII در افزونه WooCommerce Stripe Gateway

تصویر برجسته توسط Shutterstock/FedorAnisimov

[ad_2]

خبرهای مرتبط:
  • آسیب‌پذیری جدید پردازنده‌های اپل و AMD که منجر به سرقت داده‌ها می‌شود
  • کشف آسیب‌پذیری ChatGPT که منجر به افشای داده‌های محرمانه می‌شود
  • گزارش محققان امنیتی در مورد آسیب‌پذیری در درایورهای ویندوز
  • مرورگر فایرفاکس در اندروید حالا از بیش از 450 افزونه پشتیبانی می‌کند
  • نشت گسترده اعتبار ChatGPT: بیش از 100000 حساب تحت تأثیر قرار گرفته است
  • گوگل محبوب‌ترین افزونه های سال 2023 کروم را معرفی کرد
  • هزاران روتر و دوربین در برابر نفوذ بات‌نت میرای آسیب‌پذیر هستند
  • حمله ترامپ به فرماندار آیووا حکایت از آسیب پذیری در این ایالت دارد
  • اطلاعات تمام شهروندان برزیل احتمالاً در یک آسیب‌پذیری امنیتی لو رفته است
  • افزونه حمل و نقل پستکس
  • مصرف استامینوفن در بارداری مهارت‌های زبانی کودکان را تحت تأثیر قرار می‌دهد
  • هوش مصنوعی 40 درصد مشاغل را تحت تأثیر قرار می‌دهد
  • حمایت همراه اول از طرح‌های فناورانه در حوزه اتصال‌پذیری و ارتباطات
  • واتس‌اپ برنامه خود را برای تعامل‌پذیری با دیگر پیام‌رسان‌ها اعلام کرد
  • چگونه با 40 افزونه ChatGPT در وب جستجو کنیم
  • هوش مصنوعی کوپایلوت مایکروسافت حالا با یک افزونه می‌تواند آهنگ بسازد
  • افزونه‌های جدید کنار دیوار چگونه می‌تواند فرهنگ خرید آنلاین را ارتقا دهند؟
  • افزایش تولید در گرو رقابت‌پذیری صنعت خودرو
  • ردیت ظاهراً ارزش‌گذاری 5 میلیارد دلاری را برای عرضه سهامش هدف قرار داده است
  • مهم ترین وب سایت هایی که هر بازاریاب دیجیتال یا طراح وب سایت باید بداند!
  • گلکسی S24 اولترا تست سقوط را بدون آسیب عمده‌ پشت‌سر گذاشت + ویدیو
  • NTIA بیش از 1450 نظر در مورد مسئولیت پذیری هوش مصنوعی دریافت کرد
  • «کنار دیوار»، محصول جدید دیوار، چه افزونه‌هایی دارد؟
  • اپیدمی وبلاگ نویسی و آسیب روانی – جامعه شناختی مرتبط
  • شبکه‌های اجتماعی نمی‌توانند مسئولیت آسیب‌زدن به نوجوانان را نپذیرند
  • بزرگ‌ترین نشت اطلاعاتی تاریخ؛ کشف 26 میلیارد رکورد از داده‌های کاربران توییتر، لینکدین و غیره
  • «بازار» سقف باگ‌بانتی را تا یک میلیارد تومان بالا می‌برد
  • کسپرسکی از کشف پیچیده‌ترین حمله سایبری علیه آیفون خبر می‌دهد
  • جت سئو؛ جامع ترین ابزار آنالیز سایت ایرانی
  • تأثیر مایع ضدیخ نامناسب بر خودرو
  • گوگل در یک ماه اخیر نزدیک به 100 نقص امنیتی اندروید را برطرف کرده است
  • اختراع حسگر زیست‌تخریب‌پذیری که سلامت مواد غذایی را تشخیص می‌دهد
  • چگونه هدست‌های واقعیت مجازی به ما آسیب می‌زنند؟
  • یادآورهای مرگ ناشی از فجایع روی رفتار افراد تأثیر می گذارند
  • حملات سایبری هکرها به برخی سازمان‌های دولتی در جهان
  • 15 دقیقه ورزش روزانه آسیب نشستن‌های درازمدت را جبران می‌کند
  • آمریکا می‌گوید جت‌های روسیه پهپادهای آمریکایی را که داعش را هدف قرار می‌دادند مورد آزار و اذیت قرار دادند
  • آسیب صنایع پایین‌دست درپی ورشکستگی خودروسازان بزرگ
  • نقص امنیتی شرکت مخابراتی Xfinity اطلاعات 35 میلیون کاربر را به خطر انداخت
  • هدست اپل ویژن پرو هک و امکان جیلبریک آن فراهم شد
  • موتورهای جستجو به دروازه دسترسی به محتواهای آسیب‌زننده تبدیل شده‌اند
  • چگونه تصمیم دابز در مورد حقوق سقط جنین بر روند فرزندخواندگی تأثیر می گذارد
  • اختلال شایع ADHD بر اتصالات سراسر مغز تأثیر می‌گذارد

    • Leave a Reply