The iPaymu Payment Gateway for WooCommerce plugin for WordPress is vulnerable to Missing Authentication in all versions up to, and including, 2.0.2 via the 'check_ipaymu_response' function. This is due to the plugin not validating webhook request authenticity through signature verification or origin checks. This makes it possible for unauthenticated attackers to mark WooCommerce orders as paid by sending crafted POST requests to the webhook endpoint without any payment occurring, as well as enumerate order IDs and obtain valid order keys via GET requests, exposing customer order PII including names, addresses, and purchased products.
The iPaymu Payment Gateway plugin for WooCommerce (versions ≤2.0.2) contains a critical authentication bypass vulnerability (CWE-862) in its webhook handler. Unasmuthenticated attackers can mark orders as paid without actual payment, enumerate order IDs, and extract customer PII including names, addresses, and purchase details through crafted requests to unprotected endpoints.
تسمح هذه الثغرة الأمنية للمهاجمين بإرسال طلبات POST مزيفة إلى نقطة نهاية الويب هوك دون التحقق من صحة التوقيع أو مصدر الطلب، مما يمكنهم من تعليم الطلبات كمدفوعة دون إجراء أي معاملة مالية حقيقية. بالإضافة إلى ذلك، يمكن للمهاجمين استخدام طلبات GET لتعداد معرفات الطلبات والحصول على مفاتيح الطلبات الصالحة. يؤدي هذا إلى كشف معلومات التعريف الشخصية للعملاء بما في ذلك الأسماء الكاملة والعناوين البريدية وتفاصيل المنتجات المشتراة. تنبع المشكلة من غياب آليات التحقق من الهوية في دالة 'check_ipaymu_response' عبر جميع الإصدارات حتى 2.0.2.
يحتوي مكون iPaymu Payment Gateway الإضافي لمنصة WooCommerce (الإصدارات ≤2.0.2) على ثغرة حرجة في تجاوز المصادقة (CWE-862) في معالج الويب هوك. يمكن للمهاجمين غير المصادق عليهم وضع علامة على الطلبات كمدفوعة دون دفع فعلي، وتعداد معرفات الطلبات، واستخراج البيانات الشخصية للعملاء بما في ذلك الأسماء والعناوين وتفاصيل المشتريات من خلال طلبات مصممة خصيصاً إلى نقاط النهاية غير المحمية.
1. Immediately disable or remove the iPaymu Payment Gateway plugin (versions ≤2.0.2) from all WooCommerce installations until a patched version with proper webhook signature verification is released by the vendor
2. Implement Web Application Firewall (WAF) rules to block unauthorized POST requests to '/wp-json/ipaymu/v1/callback' and similar webhook endpoints, restricting access to verified iPaymu IP addresses only
3. Conduct forensic review of all WooCommerce orders marked as 'paid' in the past 90 days to identify fraudulent transactions, cross-referencing with actual payment gateway records, and implement compensating controls such as manual payment verification for high-value orders
1. تعطيل أو إزالة مكون iPaymu Payment Gateway الإضافي (الإصدارات ≤2.0.2) فوراً من جميع تثبيتات WooCommerce حتى يتم إصدار نسخة محدثة مع التحقق السليم من توقيع الويب هوك من قبل المورد
2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحظر طلبات POST غير المصرح بها إلى '/wp-json/ipaymu/v1/callback' ونقاط نهاية الويب هوك المماثلة، مع تقييد الوصول إلى عناوين IP المعتمدة من iPaymu فقط
3. إجراء مراجعة جنائية لجميع طلبات WooCommerce المعلمة كـ 'مدفوعة' خلال الـ 90 يوماً الماضية لتحديد المعاملات الاحتيالية، مع المقارنة المرجعية بسجلات بوابة الدفع الفعلية، وتنفيذ ضوابط تعويضية مثل التحقق اليدوي من الدفع للطلبات عالية القيمة