Уязвимость в безопасности плагина WooCommerce Square для WordPress может позволить хакерам украсть сохраненную информацию о кредитных картах и совершать несанкционированные покупки. Эта проблема затрагивает до 80 000 веб-сайтов.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)WooCommerce Square WordPress Plugin
Как вебмастер, я обнаружил, что плагин WooCommerce Square – это настоящее спасение. Он позволяет моим клиентам легко принимать платежи напрямую через их аккаунт Square, прямо на их сайте WordPress. Но это больше, чем просто платежи – он также поддерживает синхронизацию уровней запасов товаров между Square и WooCommerce, что экономит массу времени и предотвращает перепродажи. Кроме того, он поддерживает современные способы оплаты, такие как Apple Pay и Google Pay, и безупречно работает с функциями WooCommerce, такими как Pre-Orders и Subscriptions – что делает его действительно комплексным решением.
Insecure Direct Object Reference
Этот плагин имеет уязвимость в системе безопасности, при которой конфиденциальная информация, такая как уникальные идентификаторы, включается непосредственно в веб-адреса. Это позволяет злоумышленнику изменить эти идентификаторы и получить доступ к файлам, к которым он не должен иметь доступа, обходя обычные меры безопасности.
Проект Open Worldwide Application Security Project (OWASP) определяет IDOR как:
Незащищённая прямая ссылка на объект (IDOR) возникает, когда кто-то может манипулировать URL-адресами или параметрами веб-приложения для доступа или изменения данных, к которым у него не должно быть доступа. Обычно это происходит из-за того, что приложение не проверяет должным образом, имеет ли пользователь разрешение на просмотр или изменение этой конкретной информации.
Эта уязвимость в системе безопасности не требует имени пользователя или пароля для эксплуатации, что упрощает задачу для злоумышленников по таргетированию уязвимых веб-сайтов.
В плагине WooCommerce Square для WordPress (версий 5.1.1 и более ранних) существует уязвимость в системе безопасности, которая может позволить злоумышленникам получить доступ к конфиденциальной информации о кредитных картах. Эта уязвимость, обнаруженная в функции ‘get_token_by_id’, возникает из-за того, что плагин некорректно проверяет данные, предоставленные пользователем. Злоумышленник может использовать это для раскрытия значений ‘ccof’ (связанных с сохраненными кредитными картами) и потенциально совершать несанкционированные платежи на веб-сайте.
Несколько версий плагина WooCommerce Square были обновлены для исправления проблем с безопасностью. Если вы используете этот плагин, важно обновиться до одной из последних версий.
- 4.2.3
- 4.3.2
- 4.4.2
- 4.5.2
- 4.6.4
- 4.7.4
- 4.8.8
- 4.9.9
- 5.0.1
- 5.1.2
Эта уязвимость имеет оценку CVSS 7.5, что означает, что она считается высокорискованной. Её можно эксплуатировать удалённо, но определённые ограничения не позволяют классифицировать её как критическую.
Смотрите также
- Анализ динамики цен на криптовалюту PI: прогнозы PI
- Реклама местных услуг Google тестирует дополнительные расширения с вызовами
- Google назвал точную причину, почему негативное SEO не работает
- Акции SVAV. СОЛЛЕРС: прогноз акций.
- Акции CHMK. ЧМК: прогноз акций.
- Google снова: скоро мы протестируем рекламу в обзорах AI
- Понимание и оптимизация совокупного смещения макета (CLS)
- Duda объявляет об интеграции автоматизации маркетинга ActiveCampaign
- Google тестирует новый дизайн поиска для покупок
- Google Ads откажется новым аккаунтам от показа рекламы на припаркованных доменах
2026-01-13 01:09