【快讯】研究人员公开WP支付插件中的漏洞CVE-2023-34000

13日报道，研究人员披露了WordPress的WooCommerce Stripe Gateway插件中的漏洞（CVE-2023-34000）。这是电商网站的支付网关插件，目前有超过900000的安装量。该漏洞是未经身份验证的不安全直接对象引用(IDOR)漏洞，会影响7.4.0及以下版本，已于5月30日被修复。漏洞源于订单对象的不安全处理以及插件的javascript_params和payment_fields函数中缺乏适当的访问控制措施，可被攻击者用来绕过授权并访问敏感信息。