306/66 (IT) ประจำวันศุกร์ที่ 16 มิถุนายน 2566
ร้านค้าออนไลน์หลายแสนแห่งอาจถูกโจมตีจากช่องโหว่ร้ายแรงในปลั๊กอิน WooCommerce Stripe Payment Gateway โดยปลั๊กอิน WooCommerce Stripe Payment Gateway ได้รับผลกระทบจากช่องโหว่ร้ายแรงที่หมายเลข CVE-2023-34000 ซึ่งปลั๊กอิน Stripe จะช่วยให้ผู้ดูแลระบบของเว็บไซต์ e-commerce สามารถชำระเงินได้โดยตรงที่ร้านค้าผ่าน API ของ Stripe
Stripe เป็นวิธีง่ายๆ ในการรับชำระเงินออนไลน์ รองรับบัตร Visa, MasterCard, American Express, Discover, JCB และ Diners Club แม้กระทั่งช่องทางการชำระเงินด้วย Bitcoin ซึ่งเป็นปลั๊กอินนี้ได้รับความนิยมอย่างมากและมีการติดตั้งมากกว่า 900,000 ครั้ง
โดยที่ช่องโหว่ในปลั๊กอิน WooCommerce Stripe Gateway WordPress สามารถถูกนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต ซึ่งช่องโหว่นี้เป็นปัญหา Insecure direct object references ( IDOR ) ที่ไม่ผ่านการรับรองความถูกต้องส่งผลกระทบต่อเวอร์ชัน 7.4.0 และต่ำกว่า ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อข้ามการอนุญาตและเข้าถึงข้อมูลที่ละเอียดอ่อนได้
Timeline การเปิดเผยช่องโหว่หมายเลข CVE-2023-34000
– วันที่ 17 เมษายน 2023 พบช่องโหว่และติดต่อผู้จำหน่ายปลั๊กอิน
– วันที่ 30 พฤษภาคม 2023 WooCommerce Stripe Gateway เวอร์ชัน 7.4.1 ได้รับการเผยแพร่เพื่อแก้ไขปัญหาที่รายงาน
– วันที่ 13 มิถุนายน 2023 เพิ่มช่องโหว่ไปยังฐานข้อมูลช่องโหว่ Patchstack
– วันที่ 13 มิถุนายน 2566 เผยแพร่บทความ
แหล่งข่าว ( https://securityaffairs.com/147464/security/woocommerce-stripe-payment-gateway-flaw.html )