WooCommerce Stripe Payment Gateway 插件被发现存在漏洞,允许攻击者使用该插件从商店窃取客户个人身份信息 (PII),目前正在使用该插件的网站超过90万。为避免受到该漏洞影响,建议马上升级至7.4.1版,以及将WooCommerce更新到7.8.0+。
WooCommerce Stripe Payment Gateway 插件
使用 WooCommerce 的 Stripe 支付网关,包括 Apple Pay、Google Pay 和 Microsoft Pay,直接在WooCommerce打造的商店中接受 Visa、MasterCard、American Express、Discover、JCB、Diners Club、SEPA、Sofort、iDEAL、giropay、支付宝等付款,包括移动和桌面设备。
插件由 WooCommerce、Automattic、WooThemes 和其他贡献者开发,目前已安装在超过 900,000 个网站中。
漏洞影响7.4.0以及之前版本
该漏洞允许黑客使用流行的 WooCommerce 支付插件从网站窃取敏感的客户信息
安全研究人员警告称,黑客无需身份验证即可利用该漏洞,该漏洞在 1 至 10 的评分范围内获得了 7.5 的高分。
目前该插件相关的开发人员将其更新为 7.4.1 版,修复了该漏洞。
WooCommerce Stripe Payment Gateway 插件 v7.4.1下载地址:https://wordpress.org/plugins/woocommerce-gateway-stripe/
也可以在WordPress后台仪表板中在线更新。
据相关机构报告,该漏洞是因为插件中包含不符合WordPress开发规范的转义数据代码,有关安全转义数据的开发规范可参考WordPress.org官方手册。
