พบช่องโหว่ WooCommerce Stripe Gateway plugin สำหรับ WordPress สามารถดูข้อมูลรายละเอียดคำสั่งซื้อลูกค้ารายอื่นได้ โดยไม่ต้องทำการ Authentication โดย WooCommerce Stripe Gateway plugin เป็น Wordpress plugin สำหรับการทำให้เว็บไซต์ที่ใช้งาน Wordpress เป็นลักษณะของ e-commerce สามารถทำให้ Wordpress รองรับการจ่ายเงินได้หลายรูปแบบเช่น Visa, MasterCard, American Express, Apple Pay, และ Google Pay ซึ่งปัจจุบันมีรายงานว่ามีการ install plugin ดังกล่าวไปแล้วกว่า 900,000 เว็บไซต์
ผู้เชี่ยวชาญด้าน Security ชื่อ Patchstack ค้นพบช่องโหว่นี้โดยได้รับ CVE คือ CVE-2023-34000 ประเภท Unauthenticated Insecure Direct Object Reference (IDOR) ทำให้สามารถเห็นข้อมูลคำสั่งซื้อของลูกค้ารายอื่นได้ ซึ่งความสำคัญคือข้อมูลที่สามารถเห็นได้นั้นอาจเป็นข้อมูลประเภท Sensitive Data เช่น personally Identifiable Information (PII) กล่าวคือ Email Addresses, Shipping Addresses, และชื่อนามสกุลแบบเต็มรูปแบบ อาจส่งผลให้ละเมิดข้อกำหนดหรือกฎของผู้กำกับในแต่ละประเทศ เช่น GDPR (EU), PDPA (Thailand) เป็นได้
ซึ่งปัจจุบัน (14 June 2023) ยังไม่พบ Patch ที่ใหม่กว่า 7.4.1 ซึ่งทำให้ปัจจุบันผู้ใช้งาน Wordpress Plugin WooCommerce Stripe Gateway อาจกำลังตกอยู่ในความเสี่ยง
https://woocommerce.com/products/stripe/
https://wordpress.org/plugins/woocommerce-gateway-stripe/
https://www.bleepingcomputer.com/.../wordpress-stripe.../
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว