WooCommerce Stripe Gateway Plugin’i kuran WordPress kullanıcılarının, kullanıcıların PII verilerini potansiyel olarak ifşa eden büyük bir güvenlik açığı haberinin ardından en az 7.4.1 sürümüne güncellemeleri isteniyor.
CVE-2023-34000 olarak atanan güvenlik açığı, WooCommerce Stripe Gateway eklentisinin ücretsiz sürümüyle, özellikle 7.4.0 ve altındaki sürümlerle ilgilidir. Popüler e-ticaret eklentisi, 900.000’den fazla aktif kurulum topladı ve bu da hatanın ciddiyetini özellikle endişe verici hale getirdi.
Eklenti, müşterilerin harici olarak barındırılan bir sayfaya yönlendirilmek yerine seçtikleri işletmenin kendi WordPress sayfasında ödemeleri işleme koymasına izin verdiği için, Stripe eklentisi özellikle popüler oldu.
CVE-2023-34000 ile ilgili endişenin nedeni, kimliği doğrulanmamış herhangi bir kullanıcının e-posta adresleri, adlar ve tam adresler dahil olmak üzere herhangi bir WooCommerce siparişindeki PII verilerine erişebilmesidir.
Güvenlik açığını ilk bulan kişi, WordPress güvenlik hizmeti sağlayıcısıdır. yama yığını eklenti satıcısını 17 Nisan’da bilgilendirdi, ancak sorunu gidermek için 7.4.1 sürümünün yayınlanması altı haftadan biraz daha uzun bir süre sonra gerçekleşti.
7.4.1 sürümü için değişiklik günlüğü iki giriş içerir: “Sipariş Anahtarı Doğrulaması Ekle” ve “Temizleme ve bazı çıktılardan kaçış ekleyin.”
Güvenlik korkusuna rağmen, ödeme eklentisi, Stripe’ın API’si aracılığıyla Visa, MasterCard ve American Express ödemelerini (Apple Pay dahil) işleme yeteneği nedeniyle WordPress’i seçen birçok e-ticaret işletmesi için temel unsur olmaya devam ediyor.
WooCommerce hemen yanıt vermedi TechRadar Pro‘ın düzeltilmesi birkaç hafta süren güvenlik açığı hakkında yorum talebi.