The iPaymu Payment Gateway for WooCommerce plugin for WordPress is vulnerable to Missing Authentication in all versions up to, and including, 2.0.2 via the 'check_ipaymu_response' function. This is due to the plugin not validating webhook request authenticity through signature verification or origin checks. This makes it possible for unauthenticated attackers to mark WooCommerce orders as paid by sending crafted POST requests to the webhook endpoint without any payment occurring, as well as enumerate order IDs and obtain valid order keys via GET requests, exposing customer order PII including names, addresses, and purchased products.
The iPaymu Payment Gateway plugin for WordPress lacks authentication in its webhook handler, allowing attackers to mark orders as paid without actual payment and enumerate customer data. Unauthenticated attackers can access sensitive order information including customer names, addresses, and purchase history through GET requests.
تفتقر إضافة بوابة الدفع iPaymu لـ WooCommerce إلى آلية المصادقة في معالج webhook الخاص بها، مما يسمح للمهاجمين بتحديد الطلبات كمدفوعة دون حدوث دفع فعلي. يمكن للمهاجمين غير المصرح لهم الوصول إلى معلومات الطلبات الحساسة بما في ذلك أسماء العملاء والعناوين وسجل المشتريات من خلال طلبات GET.
The iPaymu Payment Gateway plugin for WordPress lacks authentication in its webhook handler, allowing attackers to mark orders as paid without actual payment and enumerate customer data. Unauthenticated attackers can access sensitive order information including customer names, addresses, and purchase history through GET requests.
Update the iPaymu Payment Gateway plugin to version 2.0.3 or later immediately. Implement webhook signature verification using HMAC-SHA256 or similar cryptographic methods. Add origin validation checks for webhook requests. Restrict webhook endpoint access to known iPaymu IP addresses. Implement rate limiting on webhook and enumeration endpoints. Audit logs for unauthorized webhook attempts and order enumeration activities.
قم بتحديث إضافة بوابة الدفع iPaymu إلى الإصدار 2.0.3 أو أحدث فوراً. قم بتنفيذ التحقق من توقيع webhook باستخدام HMAC-SHA256 أو طرق تشفيرية مماثلة. أضف فحوصات التحقق من أصل الطلبات. قيد الوصول إلى نقطة نهاية webhook لعناوين IP معروفة من iPaymu. طبق تحديد معدل الطلبات على نقاط النهاية. قم بمراجعة السجلات للكشف عن محاولات webhook غير المصرح بها.