WordPress-Shops mit WooCommerce-Plug-in: Angreifer könnten Kundendaten einsehen
Aufgrund einer Schwachstelle sind persönliche Kundendaten in WordPress-Shopwebsites nicht optimal geschützt. Admins sollten zügig handeln.
Wer einen Onlineshop auf WordPress-Basis dem Plug-in WooCommerce Stripe Gateway betreibt, sollte das Plug-in auf den aktuellen Stand bringen. Geschieht das nicht, könnten Angreifer auf Interna von Shops zugreifen.
Jetzt patchen!
Sicherheitsforscher von Patchstack warnen vor einer Sicherheitslücke (CVE-2023-34000 "hoch") in WooCommerce Stripe Gateway. Sie stufen den Schweregrad als kritisch ein. Admins sollten also zügig handeln.
Das Plug-in richtet für Kunden mehrere Bezahlmöglichkeiten wie Apple Pay und Kreditkarte ein und wickelt die Zahlung direkt auf der Website eines Shops ab. WooCommerce Stripe Gateway ist weltweit im Einsatz und weist rund 900.000 aktive Installationen auf.
Die Sicherheitslücke
Der Fehler findet sich in den javascript_params
- und payment_fields
-Funktionen. Dabei kommt es zu Fehlern bei der Verarbeitung von Auftragsobjekten und im Zusammenspiel mit dem Fehlen einer Zugriffskontrolle. Am Ende können Angreifer Bestellinformationen wie Namen, Adressen und E-Mail-Adressen von Kunden einsehen.
Der Entwickler gibt an, die Schwachstelle in der Ausgabe 7.4.1 geschlossen zu haben.
(des)