‍

พบช่องโหว่ WooCommerce Stripe Gateway plugin สำหรับ WordPress สามารถดูข้อมูลรายละเอียดคำสั่งซื้อลูกค้ารายอื่นได้ โดยไม่ต้องทำการ Authentication โดย WooCommerce Stripe Gateway plugin เป็น Wordpress plugin สำหรับการทำให้เว็บไซต์ที่ใช้งาน Wordpress เป็นลักษณะของ e-commerce สามารถทำให้ Wordpress รองรับการจ่ายเงินได้หลายรูปแบบเช่น Visa, MasterCard, American Express, Apple Pay, และ Google Pay ซึ่งปัจจุบันมีรายงานว่ามีการ install plugin ดังกล่าวไปแล้วกว่า 900,000 เว็บไซต์

ผู้เชี่ยวชาญด้าน Security ชื่อ Patchstack ค้นพบช่องโหว่นี้โดยได้รับ CVE คือ CVE-2023-34000 ประเภท Unauthenticated Insecure Direct Object Reference (IDOR) ทำให้สามารถเห็นข้อมูลคำสั่งซื้อของลูกค้ารายอื่นได้ ซึ่งความสำคัญคือข้อมูลที่สามารถเห็นได้นั้นอาจเป็นข้อมูลประเภท Sensitive Data เช่น personally Identifiable Information (PII) กล่าวคือ Email Addresses, Shipping Addresses, และชื่อนามสกุลแบบเต็มรูปแบบ อาจส่งผลให้ละเมิดข้อกำหนดหรือกฎของผู้กำกับในแต่ละประเทศ เช่น GDPR (EU), PDPA (Thailand) เป็นได้

‍

ช่องโหว่นี้กระทบกับ WooCommerce Stripe Gateway ที่ version ต่ำกว่า 7.4.1 ทั้งหมด

 ซึ่งปัจจุบัน (14 June 2023) ยังไม่พบ Patch ที่ใหม่กว่า 7.4.1 ซึ่งทำให้ปัจจุบันผู้ใช้งาน Wordpress Plugin WooCommerce Stripe Gateway อาจกำลังตกอยู่ในความเสี่ยง

‍

ผู้ดูแลเว็บไซต์ควรติดตามการ update ของ plugin ดังกล่าวอย่างใกล้ชิดดังนี้

 https://woocommerce.com/products/stripe/

 https://wordpress.org/plugins/woocommerce-gateway-stripe/

‍

อ้างอิง

https://www.bleepingcomputer.com/.../wordpress-stripe.../

‍

‍