Il bug del plug-in di pagamento WordPress Stripe fa trapelare i dettagli dell’ordine del cliente

Il plug-in WooCommerce Stripe Gateway per WordPress è risultato vulnerabile a un bug che consente a qualsiasi utente non autenticato di visualizzare i dettagli dell’ordine effettuato tramite il plug-in.

WooCommerce Stripe Payment è un gateway di pagamento per siti di e-commerce WordPress, che attualmente ha 900.000 installazioni attive. Consente ai siti Web di accettare metodi di pagamento come Visa, MasterCard, American Express, Apple Pay e Google Pay tramite l’API di elaborazione dei pagamenti di Stripe.

Analisti della sicurezza presso PatchStack hanno scoperto che il popolare plugin è vulnerabile a CVE-2023-34000, un difetto IDOR (Direct Object Reference) non autenticato e non sicuro che potrebbe esporre dettagli sensibili agli aggressori.

La vulnerabilità potrebbe consentire agli utenti non autenticati di visualizzare i dati della pagina di pagamento, comprese le PII (informazioni di identificazione personale), indirizzi e-mail, indirizzi di spedizione e il nome completo dell’utente.

L’esposizione dei dati di cui sopra è considerata grave e potrebbe portare a ulteriori attacchi, come tentativi di compromissione degli account e furto di credenziali tramite e-mail di phishing mirate.

Il difetto deriva dalla gestione non sicura degli oggetti dell’ordine e dalla mancanza di adeguate misure di controllo dell’accesso nelle funzioni “javascript_params” e “payment_fields” del plugin.

Questi errori di codice consentono di abusare delle funzioni per visualizzare i dettagli dell’ordine di qualsiasi WooCommerce senza verificare i permessi della richiesta o la proprietà dell’ordine (corrispondenza dell’utente).

Il difetto colpisce tutte le versioni di WooCommerce Stripe Gateway precedenti alla 7.4.1, che è la versione a cui si consiglia agli utenti di eseguire l’aggiornamento.

Patchstack ha scoperto e segnalato CVE-2023-34000 al fornitore del plugin il 17 aprile 2023 e una patch con la versione 7.4.1 è stata rilasciata il 30 maggio 2023.

Secondo Statistiche di WordPress.orgoltre la metà delle installazioni attive del plugin utilizza attualmente una versione vulnerabile, il che si traduce in un’ampia superficie di attacco, destinata ad attirare l’attenzione dei criminali informatici.

Negli ultimi mesi si sono verificati numerosi casi di hacker che hanno attaccato plugin vulnerabili di WordPress, ad esempio Elementor Pro, Campi personalizzati avanzati, Componenti aggiuntivi essenziali per ElementorE Bellissimo banner per il consenso sui cookiesolo per citarne alcuni.

Gli amministratori dei siti WordPress dovrebbero mantenere aggiornati tutti i plug-in, disattivare quelli che non sono necessari/utilizzati e monitorare i propri siti per attività sospette come la modifica di file, il cambiamento delle impostazioni o la creazione di nuovi account amministratore.