The MoneySpace plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 2.13.9. This is due to the plugin storing full payment card details (PAN, card holder name, expiry month/year, and CVV) in WordPress post_meta using base64_encode(), and then embedding these values into the publicly accessible mspaylink page's inline JavaScript without any authentication or authorization check. This makes it possible for unauthenticated attackers who know or can guess an order_id to access the mspaylink endpoint and retrieve full credit card numbers and CVV codes directly from the HTML/JS response, constituting a severe PCI-DSS violation.
The MoneySpace WordPress plugin (versions ≤2.13.9) stores complete payment card details (PAN, CVV, expiry) in plaintext using weak base64 encoding and exposes them through publicly accessible endpoints without authentication. Unauthenticated attackers can retrieve full credit card information by accessing the mspaylink page with guessable order IDs, representing a critical PCI-DSS compliance violation and immediate data breach risk.
تتيح هذه الثغرة الأمنية الحرجة للمهاجمين غير المصادق عليهم الوصول إلى بيانات البطاقات المصرفية الكاملة المخزنة في قاعدة بيانات ووردبريس. تقوم الإضافة بتخزين أرقام البطاقات الائتمانية الكاملة (PAN)، أسماء حاملي البطاقات، تواريخ الانتهاء، ورموز CVV في جداول post_meta باستخدام ترميز base64 فقط دون تشفير حقيقي. يتم بعد ذلك تضمين هذه القيم في كود JavaScript المضمن في صفحة mspaylink المتاحة للعموم دون أي فحص للصلاحيات أو المصادقة. يمكن للمهاجم الذي يعرف أو يستطيع تخمين معرف الطلب (order_id) الوصول مباشرة إلى استجابة HTML/JS واستخراج بيانات البطاقات الكاملة، مما يشكل انتهاكاً جسيماً لمعايير أمن بيانات صناعة بطاقات الدفع (PCI-DSS) ويعرض المؤسسات لمخاطر قانونية ومالية فادحة.
تحتوي إضافة MoneySpace لووردبريس (الإصدارات ≤2.13.9) على ثغرة خطيرة تخزن بيانات البطاقات المصرفية الكاملة (رقم البطاقة، رمز CVV، تاريخ الانتهاء) بصيغة نصية باستخدام ترميز base64 الضعيف وتعرضها عبر صفحات يمكن الوصول إليها علناً دون مصادقة. يمكن للمهاجمين غير المصرح لهم استرجاع معلومات البطاقات الائتمانية الكاملة بالوصول إلى صفحة mspaylink باستخدام معرفات طلبات يمكن تخمينها، مما يشكل انتهاكاً صارخاً لمعايير PCI-DSS وخطر فوري لاختراق البيانات.
1. Immediately disable and remove the MoneySpace plugin from all WordPress installations. Conduct emergency audit of all order_id values and mspaylink endpoints to identify potential unauthorized access in web server logs.
2. Initiate PCI-DSS incident response procedures: notify payment card brands, acquiring banks, and SAMA within required timeframes. Engage qualified forensic investigators to determine scope of potential cardholder data compromise and preserve evidence.
3. Implement compliant payment processing using PCI-DSS validated payment gateways with tokenization. Never store CVV codes post-authorization, encrypt PAN data using strong cryptography if storage is absolutely necessary, and implement proper access controls with multi-factor authentication for any cardholder data access.
1. إيقاف وإزالة إضافة MoneySpace فوراً من جميع تثبيتات ووردبريس. إجراء تدقيق طارئ لجميع قيم order_id ونقاط وصول mspaylink لتحديد الوصول غير المصرح به المحتمل في سجلات خادم الويب.
2. بدء إجراءات الاستجابة لحوادث PCI-DSS: إخطار شركات بطاقات الدفع والبنوك المستحوذة ومؤسسة النقد العربي السعودي (ساما) ضمن الأطر الزمنية المطلوبة. إشراك محققين جنائيين مؤهلين لتحديد نطاق اختراق بيانات حاملي البطاقات المحتمل والحفاظ على الأدلة.
3. تطبيق معالجة دفع متوافقة باستخدام بوابات دفع معتمدة من PCI-DSS مع الترميز (tokenization). عدم تخزين رموز CVV بعد التفويض مطلقاً، تشفير بيانات PAN باستخدام تشفير قوي إذا كان التخزين ضرورياً للغاية، وتطبيق ضوابط وصول مناسبة مع مصادقة متعددة العوامل لأي وصول لبيانات حاملي البطاقات.