Уязвимость в безопасности плагина WooCommerce Square для WordPress может позволить хакерам украсть сохраненную информацию о кредитных картах и совершать несанкционированные покупки. Эта проблема затрагивает до 80 000 веб-сайтов.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)WooCommerce Square WordPress Plugin
Как вебмастер, я обнаружил, что плагин WooCommerce Square – это настоящее спасение. Он позволяет моим клиентам легко принимать платежи напрямую через их аккаунт Square, прямо на их сайте WordPress. Но это больше, чем просто платежи – он также поддерживает синхронизацию уровней запасов товаров между Square и WooCommerce, что экономит массу времени и предотвращает перепродажи. Кроме того, он поддерживает современные способы оплаты, такие как Apple Pay и Google Pay, и безупречно работает с функциями WooCommerce, такими как Pre-Orders и Subscriptions – что делает его действительно комплексным решением.
Insecure Direct Object Reference
Этот плагин имеет уязвимость в системе безопасности, при которой конфиденциальная информация, такая как уникальные идентификаторы, включается непосредственно в веб-адреса. Это позволяет злоумышленнику изменить эти идентификаторы и получить доступ к файлам, к которым он не должен иметь доступа, обходя обычные меры безопасности.
Проект Open Worldwide Application Security Project (OWASP) определяет IDOR как:
Незащищённая прямая ссылка на объект (IDOR) возникает, когда кто-то может манипулировать URL-адресами или параметрами веб-приложения для доступа или изменения данных, к которым у него не должно быть доступа. Обычно это происходит из-за того, что приложение не проверяет должным образом, имеет ли пользователь разрешение на просмотр или изменение этой конкретной информации.
Эта уязвимость в системе безопасности не требует имени пользователя или пароля для эксплуатации, что упрощает задачу для злоумышленников по таргетированию уязвимых веб-сайтов.
В плагине WooCommerce Square для WordPress (версий 5.1.1 и более ранних) существует уязвимость в системе безопасности, которая может позволить злоумышленникам получить доступ к конфиденциальной информации о кредитных картах. Эта уязвимость, обнаруженная в функции ‘get_token_by_id’, возникает из-за того, что плагин некорректно проверяет данные, предоставленные пользователем. Злоумышленник может использовать это для раскрытия значений ‘ccof’ (связанных с сохраненными кредитными картами) и потенциально совершать несанкционированные платежи на веб-сайте.
Несколько версий плагина WooCommerce Square были обновлены для исправления проблем с безопасностью. Если вы используете этот плагин, важно обновиться до одной из последних версий.
- 4.2.3
- 4.3.2
- 4.4.2
- 4.5.2
- 4.6.4
- 4.7.4
- 4.8.8
- 4.9.9
- 5.0.1
- 5.1.2
Эта уязвимость имеет оценку CVSS 7.5, что означает, что она считается высокорискованной. Её можно эксплуатировать удалённо, но определённые ограничения не позволяют классифицировать её как критическую.
Смотрите также
- Google Реклама: сообщения WhatsApp по клику
- Google Ads получает минус-слова, статистику, отчеты для PMax и многое другое
- Тесты Google: откройте для себя больше мест, которые стоит изучить поблизости
- Google Реклама лидирует по целям конверсии бета-версии сообщений
- ХАХАХА Открой абсурдность ценовых колебаний биткоина! ХАХАХА
- Коинбейс, Шопиф и Стрип заходят в криптобар…
- Google утверждает, что лучшие практики могут иметь минимальный эффект
- Google: основные веб-показатели не так важны, как некоторые могут подумать
- Показатель оптимизации Google Рекламы с данными о конкурентном давлении
- Отчет: рентабельность инвестиций в рекламу для размещения в Google SPN на 37 % ниже, чем в поиске Google
2026-01-13 01:09