Плагин Woocommerce Automatic Order Printing | (ранее WooCommerce Google Cloud Print) для WordPress уязвим к атакам типа Insecure Direct Obj…
Плагин Woocommerce Automatic Order Printing | (ранее WooCommerce Google Cloud Print) для WordPress уязвим к атакам типа Insecure Direct Object Reference во всех версиях до 4.1 включительно через действие AJAX xc_woo_printer_preview. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Subscriber и выше просматривать счета и заказы других пользователей, которые могут содержать конфиденциальную информацию [1]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/6f593dce-4b56-46c0-becd-75fd16f165a8?source=cve - [2] https://codecanyon.net/item/woocommerce-google-cloud-print/21129093
Функциональность авторизации системы не предотвращает возможности одного пользователя получить доступ к данным другого пользователя путём изменения значения ключа, идентифицирующего эти данные.
https://cwe.mitre.org/data/definitions/639.html →Открыть в коллекции CWE →