Patchstack报告了WooCommerce Stripe Gateway中的不安全直接对象引用 (IDOR) 漏洞，WooCommerce Stripe Gateway 是最受欢迎的 WooCommerce Stripe 支付插件，拥有超过 900,000 名活跃用户。它由 Patchstack 研究员 Rafie Muhammad 于 2023 年 4 月 17 日发现，并由 WooCommerce 于 2023 年 5 月 30 日在版本 7.4.1 中进行了修补。

安全公告对该漏洞的描述如下：

此漏洞允许任何未经身份验证的用户查看任何 WooCommnerce 订单的 PII 数据，包括电子邮件、用户名和完整地址。所描述的漏洞已在版本7.4.1中修复，  其中包含一些向后移植的修复版本并分配了 CVE-2023-34000。

它被分配了7.5 的高严重性 CVSS 3.1 分数，并于 6 月 13 日添加到 Patchstack 数据库。

该漏洞影响 7.4.0 及以下版本。尽管 WooCommerce 的补丁已经推出两周，但超过 55% 的插件用户使用的是 7.4 之前的版本，目前尚不清楚有多少 7.4.x 用户使用的是最新版本。

WooCommerce Stripe Gateway插件的 7.4.1 版更新日志包括两个简短说明，但没有详细说明安全更新的严重性：

修复 – 添加订单密钥验证。

修复 – 添加清理和转义一些输出。

Patchstack 的安全公告包括有关此更新中修复的潜在漏洞的更多技术细节。目前尚不清楚是否已被利用，但鼓励店主尽快更新到最新的 7.4.1 版本。