WooCommerce Stripe Gateway plugin – WordPress: Ευπάθεια αποκαλύπτει στοιχεία παραγγελίας χρηστών

Μια σοβαρή ευπάθεια εντοπίστηκε στο WooCommerce Stripe Gateway plugin για WordPress, που επιτρέπει σε μη πιστοποιημένους χρήστες να δουν τις λεπτομέρειες μιας παραγγελίας που υποβάλλεται μέσω του plugin.

Το WooCommerce Stripe Payment είναι μια πύλη πληρωμής για WordPress sites που ασχολούνται με το ηλεκτρονικό εμπόριο. Το plugin έχει πάνω από 900.000 ενεργές εγκαταστάσεις. Επιτρέπει στους ιστότοπους να δέχονται μεθόδους πληρωμής όπως Visa, MasterCard, American Express, Apple Pay και Google Pay μέσω του payment processing API της Stripe.

Δείτε επίσης: WordPress: Αυτόματη ενημέρωση για διόρθωση ευπάθειας στο Jetpack plugin

Αναλυτές ασφαλείας της Patchstack ανακάλυψαν ότι το plugin είναι ευάλωτο στην ευπάθεια CVE-2023-34000. Πρόκειται για μια ευπάθεια “insecure direct object reference (IDOR)“, που θα μπορούσε να εκθέσει ευαίσθητες λεπτομέρειες στους εισβολείς.

Η ευπάθεια θα μπορούσε να επιτρέψει σε μη πιστοποιημένους χρήστες να βλέπουν δεδομένα από τη σελίδα ολοκλήρωσης αγοράς. Αυτή η σελίδα διαθέτει και προσωπικά στοιχεία, όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου, διευθύνσεις αποστολής και το πλήρες όνομα του χρήστη.

Αυτά τα δεδομένα μπορούν να βοηθήσουν τους επιτιθέμενους να πραγματοποιήσουν πρόσθετες επιθέσεις, όπως απόπειρες παραβίασης λογαριασμού και κλοπή credentials μέσω στοχευμένων phishing emails.

Δείτε επίσης: Microsoft Patch Tuesday Ιουνίου 2023: Διορθώνει 78 ευπάθειες

Η ευπάθεια επηρεάζει όλες τις εκδόσεις του WooCommerce Stripe Gateway πριν από την 7.4.1. Οι χρήστες καλούνται να αναβαθμίσουν το plugin στην έκδοση 7.4.1 για να παραμείνουν ασφαλείς.

Η Patchstack ανακάλυψε και ανέφερε την ευπάθεια CVE-2023-34000 στον προμηθευτή του plugin στις 17 Απριλίου 2023. Η ενημέρωση 7.4.1 κυκλοφόρησε στις 30 Μαΐου 2023.

Σύμφωνα με τα στατιστικά του WordPress.org, περισσότερες από τις μισές από τις ενεργές εγκαταστάσεις του plugin χρησιμοποιούν αυτήν τη στιγμή μια ευάλωτη έκδοση.

Η εφαρμογή της ενημέρωσης θεωρείται απαραίτητη αν λάβουμε υπόψη ότι οι εγκληματίες του κυβερνοχώρου στοχεύουν συχνά τα ευάλωτα plugins. Τους τελευταίους μόνο μήνες έχουν πραγματοποιηθεί επιθέσεις μέσω ευπαθειών στα Elementor Pro, Advanced Custom Fields, Essential Addons for Elementor, Beautiful Cookie Consent Banner και πολλά άλλα.

Δείτε επίσης: WordPress: Hackers στοχεύουν 1,5 εκατομμύρια ιστότοπους

Οι διαχειριστές ιστότοπων WordPress θα πρέπει να φροντίζουν για την ενημέρωση των plugins τους. Επίσης, προτείνεται η απενεργοποίηση αυτών που δεν χρειάζονται/χρησιμοποιούνται και η παρακολούθηση ιστοτόπων για ύποπτη δραστηριότητα όπως τροποποίηση αρχείων, αλλαγή ρυθμίσεων ή δημιουργία νέων λογαριασμών διαχειριστή.

Οι ευπάθειες αποτελούν σημαντικό κίνδυνο για την επιχείρησή σας, αλλά ακολουθώντας τις βέλτιστες πρακτικές και εφαρμόζοντας μια στρατηγική ασφάλειας που βασίζεται στην πρόληψη, μπορείτε να ελαχιστοποιήσετε τον αντίκτυπο πιθανών επιθέσεων και να προστατέψετε τον οργανισμό σας από ζημιές.

Πηγή: www.bleepingcomputer.com