The Mercado Pago payments for WooCommerce plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the 'mp_pix_image' WooCommerce API endpoint in all versions up to, and including, 8.7.11. This makes it possible for unauthenticated attackers to retrieve PIX payment QR code images for arbitrary orders. PIX QR codes contain sensitive merchant information including PIX keys (which may be CPF/CNPJ personal identifiers), transaction amounts, merchant name and city, and MercadoPago transaction references.
The Mercado Pago WooCommerce plugin contains a missing capability check vulnerability allowing unauthenticated attackers to access PIX payment QR code images containing sensitive merchant data. This exposure affects all versions up to 8.7.11 and could lead to unauthorized disclosure of merchant identifiers and transaction information.
ثغرة في مكون Mercado Pago للدفع عبر WooCommerce تسمح للمهاجمين غير المصرح لهم بالوصول إلى صور رموز QR الخاصة بدفعات PIX التي تحتوي على معلومات حساسة عن التاجر. تتضمن البيانات المكشوفة مفاتيح PIX وأرقام تعريف شخصية وأسماء التجار والمدن والمراجع المالية. يؤثر هذا على جميع الإصدارات حتى 8.7.11.
A missing authentication check in the Mercado Pago WooCommerce plugin allows unauthorized users to retrieve sensitive PIX QR code images containing merchant personal identifiers and transaction details. This vulnerability affects e-commerce platforms using the plugin for payment processing in versions 8.7.11 and earlier.
Update the Mercado Pago payments for WooCommerce plugin to version 8.7.12 or later immediately. Implement proper capability checks on the 'mp_pix_image' API endpoint to require authentication. Review access logs for unauthorized API calls to the endpoint. Consider implementing additional API rate limiting and IP whitelisting for payment-related endpoints.
قم بتحديث مكون Mercado Pago للدفع في WooCommerce إلى الإصدار 8.7.12 أو أحدث فوراً. تطبيق فحوصات القدرات المناسبة على نقطة نهاية API 'mp_pix_image' لتتطلب المصادقة. مراجعة سجلات الوصول للكشف عن استدعاءات API غير المصرح بها. النظر في تطبيق تحديد معدل إضافي وقائمة بيضاء للعناوين لنقاط نهاية الدفع.