Se insta a los usuarios de WordPress que hayan instalado WooCommerce Stripe Gateway Plugin a actualizar al menos a la versión 7.4.1 luego de la noticia de una vulnerabilidad importante que podría exponer los datos PII de los usuarios.
La vulnerabilidad, asignada CVE-2023-34000, se relaciona con la versión gratuita del complemento WooCommerce Stripe Gateway, específicamente las versiones 7.4.0 e inferiores. El popular complemento de comercio electrónico ha acumulado más de 900,000 instalaciones activas, lo que hace que la gravedad del error sea particularmente alarmante.
Debido a que el complemento permite a los clientes procesar pagos en la propia página de WordPress de su negocio elegido, en lugar de ser desviados a una página alojada externamente, el complemento de Stripe ha demostrado ser particularmente popular.
Actualice el complemento Stripe WordPress ahora
El motivo de preocupación de CVE-2023-34000 es que cualquier usuario no autenticado ha podido acceder a los datos PII de cualquier orden de WooCommerce, incluidas direcciones de correo electrónico, nombres y direcciones completas.
Acreditado por encontrar primero la vulnerabilidad, proveedor de servicios de seguridad de WordPress pila de parches notificó al proveedor del complemento el 17 de abril, pero no fue hasta poco más de seis semanas después que se lanzó la versión 7.4.1 para solucionar el problema.
El registro de cambios para la versión 7.4.1 incluye dos entradas: «Agregar validación de clave de orden» y «Agregar desinfección y escapar de algunas salidas».
A pesar del susto de seguridad, el complemento de pago sigue siendo un elemento básico para muchas empresas de comercio electrónico que eligen WordPress, por su capacidad para procesar pagos de Visa, MasterCard y American Express, incluso a través de Apple Pay, a través de la API de Stripe.
WooCommerce no respondió de inmediato a TechRadar ProLa solicitud de comentarios sobre la vulnerabilidad que tardó varias semanas en solucionarse.