전 세계 90만 개 이상의 사이트에서 사용되고 있는 워드프레스 플러그인 우커머스(WooCommerce Stripe Payment Gateway)에서 치명적인 보안 결함이 발견됐다. 이번에 발견된 취약점은 CVE-2023-34000으로 등록됐다.
Stripe 플러그인은 우커머스를 확장해 전자 상거래 사이트 관리자가 Stripe의 API를 통해 상점에서 직접 결제할 수 있도록 한다. 현재 Visa, MasterCard, American Express, Discover, JCB 및 Diners Club 카드, 심지어 비트코인 결제 채널도 Stripe을 지원하고 있다.
CVE-2023-34000 취약점은 7.4.0 버전 이하에 영향을 주는 인증되지 않은 IDOR(Insecure direct object references, 안전하지 않은 직접 개체 참조) 결함으로, 공격자가 이 취약성을 이용하면 인증을 무시하고 중요한 정보에 액세스할 수 있다.
보안 기업 PatchStack은 이 취약점을 통해 인증되지 않은 모든 사용자가 이메일, 사용자 이름 및 전체 주소를 포함한 우커머스 주문의 개인 식별 정보(PII: Personal Identifiable Information)를 볼 수 있다고 분석했다. 현재 이 취약점은 7.4.1 버전에서 수정됐으며, 이전 버전에도 모두 적용됐다.
2023년 4월 17일 – CVE-2023-34000 취약점 발견하고 플러그인 공급 업체에 연락
2023년 5월 30일 – 보고된 문제를 해결하기 위해 WooCommerce Stripe Gateway 버전 7.4.1 배포
2023년 6월 13일 – Patchstack 취약점 데이터베이스에 이번 취약점 추가 및 해당 내용 언론 공개
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
