The Riaxe Product Customizer plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 2.4 via the '/wp-json/InkXEProductDesignerLite/orders' REST API endpoint. The endpoint is registered with 'permission_callback' set to '__return_true', meaning no authentication or authorization checks are performed. The endpoint queries WooCommerce order data from the database and returns it to the requester, including customer first and last names, customer IDs, order IDs, order totals, order dates, currencies, and order statuses. This makes it possible for unauthenticated attackers to extract sensitive customer and order information from the WooCommerce store.
The Riaxe Product Customizer WordPress plugin exposes sensitive WooCommerce order and customer data through an unauthenticated REST API endpoint. Attackers can extract customer names, IDs, order details, and financial information without authentication.
يحتوي مكون Riaxe Product Customizer على ثغرة في نقطة نهاية REST API التي تسمح بالوصول غير المصرح به إلى بيانات طلبات WooCommerce الحساسة. تتضمن البيانات المكشوفة أسماء العملاء ومعرفاتهم وتفاصيل الطلبات والمبالغ المالية والعملات وحالات الطلبات. هذا يمكّن المهاجمين من استخراج معلومات حساسة عن العملاء والمتاجر الإلكترونية.
منتج Riaxe Product Customizer لـ WordPress يكشف بيانات طلبات العملاء الحساسة عبر نقطة نهاية REST API غير مصرح بها. يمكن للمهاجمين استخراج أسماء العملاء والمعرفات وتفاصيل الطلبات والمعلومات المالية بدون مصادقة.
Update the Riaxe Product Customizer plugin to version 2.5 or later immediately. If immediate patching is not possible, disable the plugin and remove it from production environments. Implement Web Application Firewall (WAF) rules to block access to '/wp-json/InkXEProductDesignerLite/orders' endpoint and restrict REST API access to authenticated users only.
قم بتحديث مكون Riaxe Product Customizer إلى الإصدار 2.5 أو أحدث فوراً. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل المكون وإزالته من بيئات الإنتاج. طبق قواعد جدار الحماية لتطبيقات الويب لحظر الوصول إلى نقطة النهاية وتقييد وصول REST API للمستخدمين المصرحين فقط.