The iPOSpays Gateways WC plugin for WordPress is vulnerable to Missing Authorization in versions up to and including 1.3.7. This is due to the plugin exposing a REST API endpoint /wp-json/ipospays/v1/save_settings with 'permission_callback' set to '__return_true', which allows unauthenticated access without any capability checks or nonce verification. This makes it possible for unauthenticated attackers to update plugin settings, specifically allowing them to overwrite critical payment gateway settings including live API keys, secret keys, and payment tokens stored in the 'woocommerce_ipospays_settings' option.
The iPOSpays Gateways WC WordPress plugin versions up to 1.3.7 contain a missing authorization vulnerability in its REST API endpoint that allows unauthenticated attackers to modify payment gateway settings. Attackers can overwrite critical credentials including API keys and payment tokens, potentially compromising e-commerce transactions and customer payment data.
تحتوي إضافة iPOSpays Gateways WC للإصدارات حتى 1.3.7 على ثغرة في التحقق من الصلاحيات في نقطة نهاية REST API تسمح للمهاجمين غير المصرح لهم بتعديل إعدادات بوابة الدفع. يمكن للمهاجمين استبدال بيانات اعتماد حساسة بما في ذلك مفاتيح API وتوكنات الدفع المخزنة في خيار 'woocommerce_ipospays_settings'.
The iPOSpays Gateways WC WordPress plugin versions up to 1.3.7 contain a missing authorization vulnerability in its REST API endpoint that allows unauthenticated attackers to modify payment gateway settings. Attackers can overwrite critical credentials including API keys and payment tokens, potentially compromising e-commerce transactions and customer payment data.
Immediately update the iPOSpays Gateways WC plugin to version 1.3.8 or later. Verify that the /wp-json/ipospays/v1/save_settings endpoint now requires proper authentication and capability checks. Audit payment gateway settings and API keys for unauthorized modifications. Implement Web Application Firewall (WAF) rules to restrict access to sensitive REST API endpoints. Disable REST API access for unauthenticated users where possible.
قم بتحديث إضافة iPOSpays Gateways WC فوراً إلى الإصدار 1.3.8 أو أحدث. تحقق من أن نقطة النهاية /wp-json/ipospays/v1/save_settings تتطلب الآن المصادقة والتحقق من الصلاحيات. قم بمراجعة إعدادات بوابة الدفع ومفاتيح API للتعديلات غير المصرح بها. طبق قواعد جدار الحماية لتقييد الوصول إلى نقاط نهاية REST API الحساسة. عطّل وصول REST API للمستخدمين غير المصرح لهم حيث أمكن.