È stata scoperta una vulnerabilità critica nella sicurezza nel popolare WooCommerce Plugin Stripe Gateway, che espone potenzialmente le informazioni di identificazione personale (PII) degli utenti.
La vulnerabilità, un riferimento diretto a un oggetto non autenticato (IDOR), colpisce le versioni 7.4.0 e precedenti del plugin, che vanta oltre 900.000 installazioni attive.
“Questo plugin è un plugin per WordPress che ti consente di accettare pagamenti direttamente su un negozio per il web e i dispositivi mobili”, ha scritto il ricercatore di sicurezza Rafie Muhammad di PatchStack in un avviso pubblicato martedì.
“Con il plug-in, i clienti possono rimanere nel negozio durante il checkout invece di essere reindirizzati a una pagina di checkout ospitata esternamente.”
Muhammad ha aggiunto che la falla potrebbe consentire agli utenti non autenticati di accedere alle informazioni utente associate agli ordini WooCommerce.
“Questa vulnerabilità consente a qualsiasi utente non autenticato di visualizzare i dati PII di qualsiasi ordine WooCommnerce, inclusi e-mail, nome utente e indirizzo completo.”
Da un punto di vista tecnico, la vulnerabilità deriva da una convalida inadeguata della proprietà dell’ordine e può essere sfruttata manipolando i parametri di query. Sfruttando questa falla, gli aggressori possono estrarre dati PII aggirando i controlli di autenticazione.
Nel Avviso patchstackMuhammad ha detto che la società di sicurezza ha scoperto e rivelato il difetto a WooCommerce il 17 aprile 2023.
Il fornitore del plugin ha quindi rilasciato una patch per risolvere la vulnerabilità il 30 maggio. WooCommerce Stripe Gateway versione 7.4.1 o versioni successive dovrebbe essere installata immediatamente per mitigare il rischio.
“Se sei un utente WooCommerce Stripe Gateway, aggiorna il plugin almeno alla versione 7.4.1”, ha detto Muhammad.
Nonostante le patch, il ricercatore di sicurezza ha avvertito i proprietari di siti Web e gli sviluppatori che utilizzano il plug-in WooCommerce Stripe Gateway di rimanere vigili e accertarsi sempre del controllo degli accessi sugli oggetti dell’ordine controllando la chiave dell’ordine e la proprietà.
Le patch di WooCommerce arrivano un paio di mesi dopo che l’azienda dietro il popolare plugin WordPress Elementor ha aggiornato il suo prodotto per correggere una vulnerabilità critica che potrebbero essere sfruttati per modificare l’aspetto dei siti web.