900.000 siti WordPress a rischio compromissione a causa di un bug su WooCommerce Stripe Gateway

È stata scoperta una vulnerabilità nel popolare plug-in WordPress WooCommerce Stripe Gateway che potrebbe portare alla fuga di informazioni riservate: qualsiasi utente non autenticato può visualizzare i dettagli degli ordini effettuati tramite il plug-in.

WooCommerce Stripe Payment è un gateway di pagamento per siti di e-commerce basati su WordPress. Consente ai siti Web di accettare metodi di pagamento come Visa, MasterCard, American Express, Apple Pay e Google Pay tramite l’API di elaborazione dei pagamenti Stripe. Il plugin ha attualmente oltre 900.000 installazioni attive.

Gli analisti di Patchstack hanno scoperto che il plug-in è vulnerabile al CVE-2023-34000, un problema di tipo IDOR (Insecure Direct Object References), che può portare alla divulgazione di dati sensibili. Ad esempio, la vulnerabilità consente agli utenti non autorizzati di visualizzare i dati dalle pagine di pagamento, comprese le informazioni personali degli utenti, i loro indirizzi e-mail, indirizzi di spedizione e nome completo.

Come scrivono i ricercatori, il problema è legato all’elaborazione non sicura degli oggetti dell’ordine e alla mancanza di un adeguato meccanismo di controllo degli accessi nelle funzioni javascript_params e payment_fields. 

Di conseguenza, è possibile abusare di queste funzioni per visualizzare i dettagli di qualsiasi ordine senza controllare i permessi di query o la mappatura degli utenti.

È stato segnalato che la vulnerabilità interessa tutte le versioni di WooCommerce Stripe Gateway precedenti alla 7.4.1, a cui si consiglia agli utenti di eseguire l’aggiornamento. La versione rivista 7.4.1 è stata rilasciata il 30 maggio 2023.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks